我需要为 Ubuntu 22 上的 LUKS FDE 实施强自定义密码策略。
我已通过修改在用户帐户级别成功实施了它/etc/pam.d/common-password。但是,当通过更改 LUKS 密码时,此文件中的限制不会应用cryptsetup。cryptsetup似乎完全忽略了这个文件,而且我找不到任何关于将自定义密码要求具体应用于 LUKS 的信息。
有什么方法可以实现这个吗?这可能是一个小众问题,但对于我的组织来说这是一个硬性要求。
编辑:修改/etc/security/pwquality.conf似乎也不起作用,至少不能单独起作用——在更改 root 密码时它会检查 pw 质量,但cryptsetup在更改 LUKS 密钥槽 pw 时不会专门检查命令。
在一些文档中我看到了这一点:
--force-password
Do not use password quality checking for new LUKS passwords.
This option applies only to luksFormat, luksAddKey and
luksChangeKey and is ignored if cryptsetup is built without
password quality checking support.
For more info about password quality check, see the manual page
for pwquality.conf(5) and passwdqc.conf(5).
这很有趣。这意味着 Ubuntucryptsetup已经建立了没有“密码质量检查支持。”
所以我想问题可能是,有没有办法cryptsetup通过更改某种配置或运行命令来启用密码质量检查?或者这个参数是否硬编码到Ubuntu的cryptsetup实现中,无法修改?
答案1
看起来 cryptosetup 使用了 libpwquality,这与您查看的 PAM 文件不同。它的配置文件通常位于/etc/security/pwquality.conf。
手册页是这里