linux用户密码策略测试


1、linux普通用户默认密码策略:

     用passwd修改用户密码,常常提示“BAD PASSWORD: it is based on a dictionary word”。实际上linux要求的密码验证机制是在/etc/login.defs中规定最小密码字符数;同时还要受到/etc/pam.d/passwd的限定。但是在root用户下怎么设置都可以,可以不受验证机制的约束,即便出来“BAD PASSWORD: it is based on a dictionary word”也可以修改成功。

     但是普通用户修改自己的密码,如果不符合密码验证机制的话就修改不成功,会有各种报错。

“BAD PASSWORD: it‘s WAY too short”,这是报密码太短,不符合/etc/login.defs的设置;

“BAD PASSWORD: it is based on your username”,这是密码与帐号不能同名,这是不符合/etc/pam.d/passwd的设置;

“BAD PASSWORD: it is based on a dictionary word”这是因为出现了字典里的字符串。


如何去掉限制呢?


1. vi /etc/pam.d/system-auth as root.

2. Look for the following two lines:

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok

3. Comment out the first of the two lines:
#password    requisite     pam_cracklib.so try_first_pass retry=3

4. Remove use_authtok on the second line. Otherwise you’ll get “passwd: Authentication information cannot be recovered” error.
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass

5. That’s it. Try changing your password again.


当只是操作第3步时,pam_cracklib.so密码复杂度不检查,但use_authtok依旧起作用,会导致所有无法修改密码,则会出来如下报错:

passwd: Authentication token manipulation error

按如上操作时,密码复杂度不检查,但普通用户依旧受限于pam_cracklib的最短密码长度。

Simple
           Is the new password too small? This is controlled by 6 arguments minlen, maxclassrepeat, dcredit, ucredit,lcredit, and ocredit. 


2、对普通用户修改密码,增加密码安全性:

修改/etc/pam.d/system-auth

     password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1 enforce_for_root 

 

  其中enforce_for_root 是强制管理员修改,若无,管理员修改不受限制

  pam_cracklib.so模块,在centos6版本中有enforce_for_root,在5版本中无,可以使用pam_passwdqc.so


3、使用pam_passwdqc.so模块

          password    requisite  pam_passwdqc.so  enforce=everyone

   独立于pam_cracklib模块,单独设置密码安全性。


本文出自 “秋天的童话” 博客,请务必保留此出处http://wushank.blog.51cto.com/3489095/1662663

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。