我在linux系统(RedHat Enterprise linux 5)中配置密码规则,通过google发现使用pam_cracklib会自动进行简单的检查,也就是说pam_cracklib会自动检查新密码是否是原密码的逆序,如果是则拒绝新密码。
但是,我尝试了新密码,只需将上一个密码反转即可,新密码可以生效!也就是说,pam_cracklib 将允许新密码(将上一个密码反转)。这是我的配置:
/etc/pam.d/system-auth:
password required pam_cracklib.so try_first_pass retry=3 minlen=6
有人能告诉我我的配置是否有问题吗?或者 pam_cracklib 存在一些错误?
多谢!
答案1
您不能try_first_pass与 cracklib 一起使用。它应该默认检查密码是否为回文或旧密码的旋转。
此外,堆栈中的其他模块(可能是 pam_unix.so 或 pam_ldap.so)必须使用use_authok标志,或者如果前一个模块不接受提供的密码,他们将被允许向用户询问密码。
简而言之,尝试:
需要密码 pam_cracklib.so retry=3 minlen=6 需要密码 pam_unix.so use_authok nullok md5
该nullok标志告诉模块可以从空密码更改密码(在 UNIX 系统中强制更改密码的常用方法),如果您不使用此功能,可以将其删除。