/etc/pam.d/password-auth의 정책이 시행되지 않습니다.

tag-icon tag-icon linux centos login password
/etc/pam.d/password-auth의 정책이 시행되지 않습니다.

최소 비밀번호 길이(12)를 포함하도록 login.defs 및 비밀번호-auth를 업데이트했지만 minlen을 사용하여 사용자 비밀번호를 변경하려고 하면 minlen이 적용되지 않습니다 passwd.

비밀번호 대소문자 정책은 시행되지 않습니다. 유효하지만 취약하고 너무 짧은 비밀번호로 "aaaa1234"를 입력할 수 있습니다. "비밀번호"와 같은 사전 단어를 입력할 수도 있습니다. 동일한 비밀번호를 재사용할 수 있습니다.

전체적으로 어떤 설정도 /etc/pam.d/password-auth인식되지 않는 것 같습니다.

다음 명령에 입력한 비밀번호는 다음과 같습니다.blue1234

# passwd testy
Changing password for user testy.
New password: 
BAD PASSWORD: it is based on a dictionary word
BAD PASSWORD: is too simple
Retype new password: 
passwd: all authentication tokens updated successfully.

/var/log/secure위 작업을 통해 로그인한 내용입니다. 이 이벤트의 유일한 라인입니다.

Apr  1 11:41:37 myserver passwd: pam_unix(passwd:chauthtok): password changed for testy

구성 파일

# login.defs

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN     12
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   30
PASS_MIN_DAYS   1
PASS_MIN_LEN     12
PASS_WARN_AGE   14

.

# /etc/pam.d/password-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
auth        [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900
auth        required      pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 minlen=12
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

pam 비밀번호 정책을 시행하지 않는 이유는 무엇입니까?

추신: 이것은 최소 설치입니다.

답변1

파일에 또는 이 /etc/pam.d/passwd포함되어 있는지 확인 하고 포함된 파일을 필요에 따라 변경해야 합니다. /etc/pam.d/password-auth/etc/pam.d/system-auth

간단히 말해서,
PAM을 사용하는 애플리케이션에는 로 시작하는 파일이 있을 수 있습니다 /etc/pam.d/. 파일이 존재하는 경우 애플리케이션이 PAM 인증 기능을 호출할 때마다 해당 파일의 규칙이 처리됩니다.

및 와 같은 파일은 /etc/pam.d/system-auth주로 /etc/pam.d/password-auth배포판별로 다릅니다. 어떤 응용 프로그램도 자신을 "시스템 인증" 또는 "비밀번호 인증"으로 식별하지 않으므로 이러한 파일은 실제로 자신을 호출하지 않습니다. 대신, 이러한 파일의 내용은 "include" 지시어를 통해 다른 PAM 구성 파일로 끌어옵니다. 이런 방식으로 여러 응용 프로그램의 공통 설정을 단일 파일에 저장할 수 있습니다.

관련 정보