我想设置历史密码可重用性限制。我正在尝试使用 pwhistory pam 模块。
以下是配置/etc/pam.d/通用密码Ubuntu 中的文件(版本 20.04.1 LTS)
password requisite pam_pwhistory.so remember=24
password [success=1 default=bad] pam_unix.so obscure sha512 use_authtok
以下是输出
root@localhost:/etc/pam.d# passwd test1
New password:
Retype new password:
Password has been already used.
passwd: password updated successfully
root@localhost:/etc/pam.d#
如果密码已被使用,PAM pwhistory 模块不会提示选择另一个密码
如果密码以前已经使用过,我该如何拒绝该密码?
答案1
编辑这些文件时,如果你对 common-* 进行修改,pam-auth-update 可能会破坏你的配置。
尽管如此,我发现只需在 pam_unix.so 末尾添加 Remember=[N] 就足够了。我来这里是为了寻找比这更好的答案,但这可能对某些人有帮助。
该部分中的选项[success=1 default=bad]选择接下来要评估的命令。(拒绝或允许)。单独运行 pw_history 足以骚扰最终用户,但不足以阻止他们的操作发生。