在 CentOS 上为 root 用户启用简单密码

Question 1

看一下这个：

您可以使用 PAM（可插入式身份验证模块）为所有用户配置简单的密码强度检查和密码更改策略。/etc/pam.d/system-auth 为系统身份验证提供了重要的设置。

pam_cracklib - 这是 PAM 的简单密码强度检查模块。除了检查常规密码外，它还提供密码短语支持，并可以提供随机生成的密码。pam_passwdqc - 此模块仅提供一个 PAM 管理组的功能：密码更改。就模块类型参数而言，这是“密码”功能。pam_chauthtok() - 服务函数可能会要求用户输入新密码，并验证其是否符合某些最低标准。如果所选密码不令人满意，服务函数将返回 PAM_AUTHTOK_ERR。

设置密码强度检查

默认的 pam_cracklib PAM 模块提供密码强度检查。如果发现以下任一情况，它会拒绝该密码：

回文 - 新密码是否是旧密码的回文？仅更改大小写 - 新密码是否是旧密码，只是大小写不同？相似 - 新密码是否与旧密码太相似？简单 - 新密码是否太小？轮换 - 新密码是否是旧密码的轮换版本？已使用 - 密码是否在过去使用过？以前使用的密码可以在 /etc/security/opasswd 中找到。

如何使用 pam_passwdqc - 密码质量控制 PAM 模块

编辑文件 /etc/pam.d/system-auth：cp /etc/pam.d/system-auth /root/backup/system-auth vi /etc/pam.d/system-auth

找到以下行：

password requisite pam_cracklib.so try_first_pass retry=3 并将其替换为以下行：

密码要求 pam_passwdqc.so min=disabled,disabled,12,8,7 retry=3 其中，

min=N0,N1,N2,N3,N4 - min=disabled,disabled,12,8,7 是密码策略。每个字段 (N0,N1..N4) 用于不同的目的。关键字 disabled 可用于禁止给定类型的密码，无论其长度如何。每个后续数字都不能大于前一个数字。N0 用于仅由一种字符类的字符组成的密码。字符类包括 - 数字、小写字母、大写字母和其他字符。N1 用于由两种字符类的字符组成的密码，这些字符不符合密码短语的要求。N2 用于密码短语。密码短语必须由足够的单词组成（请参阅下面的密码短语选项）。N3 和 N4 分别用于由三种和四种字符类的字符组成的密码。计算字符类的数量时，用作第一个字符的大写字母和用作最后一个字符的数字不计算在内。除了足够长之外，密码还必须包含足够多的字符，以满足字符类别和已检查的最小长度。retry=3 - 如果用户未能提供足够强的密码，并且第一次输入两次，模块将要求输入新密码的次数。有关详细配置选项，请参阅帮助文件 /usr/share/doc/pam_passwdqc-1.0.2/README 和手册页 pam_passwdqc。

来源：http://www.cyberciti.biz/faq/rhel-fedora-centos-linux-password-quality-control/

Answer

看一下这个：

您可以使用 PAM（可插入式身份验证模块）为所有用户配置简单的密码强度检查和密码更改策略。/etc/pam.d/system-auth 为系统身份验证提供了重要的设置。

pam_cracklib - 这是 PAM 的简单密码强度检查模块。除了检查常规密码外，它还提供密码短语支持，并可以提供随机生成的密码。pam_passwdqc - 此模块仅提供一个 PAM 管理组的功能：密码更改。就模块类型参数而言，这是“密码”功能。pam_chauthtok() - 服务函数可能会要求用户输入新密码，并验证其是否符合某些最低标准。如果所选密码不令人满意，服务函数将返回 PAM_AUTHTOK_ERR。

设置密码强度检查

默认的 pam_cracklib PAM 模块提供密码强度检查。如果发现以下任一情况，它会拒绝该密码：

回文 - 新密码是否是旧密码的回文？仅更改大小写 - 新密码是否是旧密码，只是大小写不同？相似 - 新密码是否与旧密码太相似？简单 - 新密码是否太小？轮换 - 新密码是否是旧密码的轮换版本？已使用 - 密码是否在过去使用过？以前使用的密码可以在 /etc/security/opasswd 中找到。

如何使用 pam_passwdqc - 密码质量控制 PAM 模块

编辑文件 /etc/pam.d/system-auth：cp /etc/pam.d/system-auth /root/backup/system-auth vi /etc/pam.d/system-auth

找到以下行：

password requisite pam_cracklib.so try_first_pass retry=3 并将其替换为以下行：

密码要求 pam_passwdqc.so min=disabled,disabled,12,8,7 retry=3 其中，

min=N0,N1,N2,N3,N4 - min=disabled,disabled,12,8,7 是密码策略。每个字段 (N0,N1..N4) 用于不同的目的。关键字 disabled 可用于禁止给定类型的密码，无论其长度如何。每个后续数字都不能大于前一个数字。N0 用于仅由一种字符类的字符组成的密码。字符类包括 - 数字、小写字母、大写字母和其他字符。N1 用于由两种字符类的字符组成的密码，这些字符不符合密码短语的要求。N2 用于密码短语。密码短语必须由足够的单词组成（请参阅下面的密码短语选项）。N3 和 N4 分别用于由三种和四种字符类的字符组成的密码。计算字符类的数量时，用作第一个字符的大写字母和用作最后一个字符的数字不计算在内。除了足够长之外，密码还必须包含足够多的字符，以满足字符类别和已检查的最小长度。retry=3 - 如果用户未能提供足够强的密码，并且第一次输入两次，模块将要求输入新密码的次数。有关详细配置选项，请参阅帮助文件 /usr/share/doc/pam_passwdqc-1.0.2/README 和手册页 pam_passwdqc。

来源：http://www.cyberciti.biz/faq/rhel-fedora-centos-linux-password-quality-control/

Question 2

vi /etc/pam.d/system-auth以 root 身份运行。

查找以下两行：

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok

注释掉以下两行中的第一行：

#password    requisite     pam_cracklib.so try_first_pass retry=3

删除第二行的 use_authtok。否则您将收到“passwd：无法恢复身份验证信息”错误。
```
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass
```
就这样。再次尝试更改密码。

Answer

vi /etc/pam.d/system-auth以 root 身份运行。

查找以下两行：

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok

注释掉以下两行中的第一行：

#password    requisite     pam_cracklib.so try_first_pass retry=3

删除第二行的 use_authtok。否则您将收到“passwd：无法恢复身份验证信息”错误。
```
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass
```
就这样。再次尝试更改密码。

Question 3

vim /etc/pam.d/system-auth

评论此行：

#password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

并从以下行中删除“use_authtok”：

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok

Answer

vim /etc/pam.d/system-auth

评论此行：

#password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

并从以下行中删除“use_authtok”：

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok

在 CentOS 上为 root 用户启用简单密码

答案1

答案2

答案3

相关内容