/etc/pam.d/common-password다음과 같은 줄이 있습니다 .
password [success=1 default=ignore] pam_unix.so sha512 rounds=200000
이는 누군가가 비밀번호를 설정할 때마다 200,000회의 SHA-512를 사용하여 해시된다는 의미입니다. 본질적으로 느린 해싱은 암호를 테스트할 수 있는 속도를 제한하여 사전 및 무차별 대입 공격을 방지합니다.
일부 계정의 경우 비밀번호를 더 잘 보호하고 싶지만 해시 속도가 느려질 수 있습니다. 관리자 계정에 500,000개의 라운드가 있다고 가정해 보겠습니다. root하지만 PAM에서 이러한 사용자별 또는 그룹별 정책을 지정할 방법을 찾을 수 없습니다. 이것이 가능합니까?
답변1
다음을 통해 사용자별 또는 그룹별 정책을 지정할 수 있습니다.pam_succeed_if기준 치수. 사용"이동" 작업ok(즉 , 정수로 대체 ignore등) password일부 사용자에 대한 설정을 건너뜁니다.
password [success=1] pam_succeed_if user ne 0
# Setting for root
password [success=1] pam_unix.so sha512 rounds=800000
# Setting for non-root
password [success=ok] pam_unix.so sha512 rounds=200000
(경고: 테스트되지 않았으며 PAM에 대한 경험이 없습니다.)