我想拒绝 pam 中用于服务的标准密码,直到用户更改它为止。这是一个固定密码,我们的用户都知道,但我不知道如何配置 pam 来拒绝它。我检查了 cracklib,但它只适用于密码更改,而不适用于身份验证。我不能使用 pam_succeed_if,因为它不检查密码。
知道如何拒绝此密码吗?
答案1
chage -d 0 username应该可以。您可能必须设置一个空的初始密码,这可能不太安全,但经过反复试验应该可以发现是否确实如此。
-编辑-
在这种情况下,您是否可以在使用登录时生成登录脚本/etc/profile,/etc/bash.bashrc或者类似地先设置该密码,然后让它们的老化策略强制更改它?
答案2
考虑pam_exec