CentOS でルートユーザーの簡単なパスワードを有効にする

Question 1

これをチェックしてください:

PAM (Pluggable Authentication Modules) を使用して、すべてのユーザーに対して簡単なパスワード強度チェックとパスワード変更ポリシーを設定できます。/etc/pam.d/system-auth は、システム認証の重要な設定を提供します。

pam_cracklib - PAM 用のシンプルなパスワード強度チェックモジュールです。通常のパスワードのチェックに加え、パスフレーズのサポートも提供し、ランダムに生成されたパスフレーズも提供できます。 pam_passwdqc - このモジュールは、パスワード変更という 1 つの PAM 管理グループのみの機能を提供します。モジュールタイプパラメータの観点からは、これは「パスワード」機能です。 pam_chauthtok() - サービス関数は、ユーザーに新しいパスワードを要求し、それが特定の最小基準を満たしているかどうかを確認します。選択されたパスワードが不十分な場合、サービス関数は PAM_AUTHTOK_ERR を返します。

パスワードの強度チェックの設定

デフォルトの pam_cracklib PAM モジュールは、パスワードの強度チェックを提供します。次のいずれかの条件が見つかった場合、パスワードを拒否します。

回文 - 新しいパスワードは古いパスワードの回文ですか? 大文字と小文字のみの変更 - 新しいパスワードは古いパスワードの大文字と小文字のみの変更ですか? 類似 - 新しいパスワードは古いパスワードに似すぎていませんか? 単純 - 新しいパスワードは小さすぎませんか? ローテーション - 新しいパスワードは古いパスワードのローテーションバージョンですか? 既に使用済み - パスワードは過去に使用されていましたか? 以前に使用されたパスワードは /etc/security/opasswd にあります。

pam_passwdqc の使い方 - パスワード品質管理 PAM モジュール

/etc/pam.d/system-auth ファイルを編集します: cp /etc/pam.d/system-auth /root/backup/system-auth vi /etc/pam.d/system-auth

次の行を見つけます:

password requisite pam_cracklib.so try_first_pass retry=3 を次の行に置き換えます。

パスワード要件 pam_passwdqc.so min=disabled,disabled,12,8,7 retry=3 ここで、

min=N0,N1,N2,N3,N4 - min=disabled,disabled,12,8,7 はパスワードポリシーです。各フィールド (N0,N1..N4) は、異なる目的で使用されます。キーワード disabled を使用すると、長さに関係なく、特定の種類のパスワードを禁止できます。後続の各数字は、前の数字より大きくすることはできません。N0 は、1 つの文字クラスの文字のみで構成されるパスワードに使用されます。文字クラスは、数字、小文字、大文字、およびその他の文字です。N1 は、パスフレーズの要件を満たさない 2 つの文字クラスの文字で構成されるパスワードに使用されます。N2 はパスフレーズに使用されます。パスフレーズは、十分な単語で構成されている必要があります (以下のパスフレーズオプションを参照)。N3 と N4 は、それぞれ 3 つの文字クラスと 4 つの文字クラスの文字で構成されるパスワードに使用されます。文字クラスの数を計算する場合、パスワードの最初の文字として使用される大文字と、パスワードの最後の文字として使用される数字はカウントされません。パスワードは、十分な長さであることに加えて、文字クラスと、チェックされた最小長に対して十分な数の異なる文字が含まれている必要があります。 retry=3 - ユーザーが十分に強力なパスワードを提供できず、最初の 2 回目にパスワードを 2 回入力した場合に、モジュールが新しいパスワードを要求する回数。詳細な設定オプションについては、ヘルプファイル /usr/share/doc/pam_passwdqc-1.0.2/README およびマニュアルページ pam_passwdqc を参照してください。

ソース：http://www.cyberciti.biz/faq/rhel-fedora-centos-linux-password-quality-control/

Answer

これをチェックしてください:

PAM (Pluggable Authentication Modules) を使用して、すべてのユーザーに対して簡単なパスワード強度チェックとパスワード変更ポリシーを設定できます。/etc/pam.d/system-auth は、システム認証の重要な設定を提供します。

pam_cracklib - PAM 用のシンプルなパスワード強度チェックモジュールです。通常のパスワードのチェックに加え、パスフレーズのサポートも提供し、ランダムに生成されたパスフレーズも提供できます。 pam_passwdqc - このモジュールは、パスワード変更という 1 つの PAM 管理グループのみの機能を提供します。モジュールタイプパラメータの観点からは、これは「パスワード」機能です。 pam_chauthtok() - サービス関数は、ユーザーに新しいパスワードを要求し、それが特定の最小基準を満たしているかどうかを確認します。選択されたパスワードが不十分な場合、サービス関数は PAM_AUTHTOK_ERR を返します。

パスワードの強度チェックの設定

デフォルトの pam_cracklib PAM モジュールは、パスワードの強度チェックを提供します。次のいずれかの条件が見つかった場合、パスワードを拒否します。

回文 - 新しいパスワードは古いパスワードの回文ですか? 大文字と小文字のみの変更 - 新しいパスワードは古いパスワードの大文字と小文字のみの変更ですか? 類似 - 新しいパスワードは古いパスワードに似すぎていませんか? 単純 - 新しいパスワードは小さすぎませんか? ローテーション - 新しいパスワードは古いパスワードのローテーションバージョンですか? 既に使用済み - パスワードは過去に使用されていましたか? 以前に使用されたパスワードは /etc/security/opasswd にあります。

pam_passwdqc の使い方 - パスワード品質管理 PAM モジュール

/etc/pam.d/system-auth ファイルを編集します: cp /etc/pam.d/system-auth /root/backup/system-auth vi /etc/pam.d/system-auth

次の行を見つけます:

password requisite pam_cracklib.so try_first_pass retry=3 を次の行に置き換えます。

パスワード要件 pam_passwdqc.so min=disabled,disabled,12,8,7 retry=3 ここで、

min=N0,N1,N2,N3,N4 - min=disabled,disabled,12,8,7 はパスワードポリシーです。各フィールド (N0,N1..N4) は、異なる目的で使用されます。キーワード disabled を使用すると、長さに関係なく、特定の種類のパスワードを禁止できます。後続の各数字は、前の数字より大きくすることはできません。N0 は、1 つの文字クラスの文字のみで構成されるパスワードに使用されます。文字クラスは、数字、小文字、大文字、およびその他の文字です。N1 は、パスフレーズの要件を満たさない 2 つの文字クラスの文字で構成されるパスワードに使用されます。N2 はパスフレーズに使用されます。パスフレーズは、十分な単語で構成されている必要があります (以下のパスフレーズオプションを参照)。N3 と N4 は、それぞれ 3 つの文字クラスと 4 つの文字クラスの文字で構成されるパスワードに使用されます。文字クラスの数を計算する場合、パスワードの最初の文字として使用される大文字と、パスワードの最後の文字として使用される数字はカウントされません。パスワードは、十分な長さであることに加えて、文字クラスと、チェックされた最小長に対して十分な数の異なる文字が含まれている必要があります。 retry=3 - ユーザーが十分に強力なパスワードを提供できず、最初の 2 回目にパスワードを 2 回入力した場合に、モジュールが新しいパスワードを要求する回数。詳細な設定オプションについては、ヘルプファイル /usr/share/doc/pam_passwdqc-1.0.2/README およびマニュアルページ pam_passwdqc を参照してください。

ソース：http://www.cyberciti.biz/faq/rhel-fedora-centos-linux-password-quality-control/

Question 2

vi /etc/pam.d/system-authルートとして。

次の 2 行を探します。

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok

次の 2 行のうち最初の行をコメントアウトします。
```
#password    requisite     pam_cracklib.so try_first_pass retry=3
```
2 行目の use_authtok を削除します。そうしないと、「passwd: 認証情報を回復できません」というエラーが発生します。
```
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass
```
以上です。もう一度パスワードを変更してみてください。

Answer

vi /etc/pam.d/system-authルートとして。

次の 2 行を探します。

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok

次の 2 行のうち最初の行をコメントアウトします。
```
#password    requisite     pam_cracklib.so try_first_pass retry=3
```
2 行目の use_authtok を削除します。そうしないと、「passwd: 認証情報を回復できません」というエラーが発生します。
```
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass
```
以上です。もう一度パスワードを変更してみてください。

Question 3

vim /etc/pam.d/system-auth

次の行をコメントします:

#password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

次の行から「use_authtok」を削除します。

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok

Answer

vim /etc/pam.d/system-auth

次の行をコメントします:

#password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

次の行から「use_authtok」を削除します。

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok

CentOS でルートユーザーの簡単なパスワードを有効にする

答え1

答え2

答え3

関連情報