システム管理者：Linuxでパスワード・ポリシーを設定するには？

ユーザーアカウント管理は、システム管理者にとって最も重要なタスクの1つです。そして、パスワード・セキュリティはシステム・セキュリティの中で最も懸念される部分です。このチュートリアルでは、Linuxでパスワードポリシーを設定する方法を紹介します。

、長年にわたってほとんどすべてのLinuxディストリビューションで使われてきました。

予備的

PAM用のcracklibモジュールをインストールしてください。cracklibは、追加のパスワードチェック機能を提供します。

$ sudo apt-get install libpam-cracklib 

CentOS、Fedora、およびRHELシステムには、すでにデフォルトでcracklib PAMモジュールがインストールされているので、これらのシステムで上記を実行する必要はありません。

パスワードポリシーを適用するには、/etc/pam.d ディレクトリの PAM 設定ファイルを変更する必要があります。修正されると、ポリシーは直ちに有効になります。

注意：このチュートリアルのパスワードポリシーは、ルートユーザーではなく、非ルートユーザーに対してのみ機能します。

古いパスワードの使用禁止

password "フィールドと "pam_unix.so "フィールドの両方に "remember=5 "が付加されている行を見つけてください。これは、最後の5つのパスワードの使用を禁止していることを示します。

$ sudo vi /etc/pam.d/common-password 
password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5 

$ sudo vi /etc/pam.d/system-auth 
password sufficient pamunix.so sha512 shadow nullok tryfirstpass useauthtok remember=5 

パスワードの最小長の設定

password "フィールドと "pam_cracklib.so "フィールドの両方に "minlen=10 "が付加されている行を見つけてください。パスワードの最小の長さを示します。PAM はパスワードに 4 種類の記号を提供します。PAMはパスワードに4種類の記号を用意しています。4種類の記号がすべてパスワードに使用され、minlenが10に設定されている場合、許容されるパスワードの最小長は6文字です。

$ sudo vi /etc/pam.d/common-password 
password requisite pam_cracklib.so retry=3 minlen=10 difok=3 

$ sudo vi /etc/pam.d/system-auth 
password requisite pam_cracklib.so retry=3 difok=3 minlen=10 

パスワードの複雑さの設定

password "と "pam_cracklib.so "フィールドの両方を持つ行を探し、"ucredit=-1 lcredit=-2 dcredit=-1 "を追加してください。1 ocredit=-1 "を追加します。これは、パスワードが少なくとも1つの大文字、2つの小文字、数字、および句読点を含んでいなければならないことを示します。

$ sudo vi /etc/pam.d/common-password 
password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 

$ sudo vi /etc/pam.d/system-auth 
password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 

パスワード有効期限の設定

etc/login.defsファイルを編集して、現在のパスワードの有効期限を以下の変数で設定します：

$ sudo vi /etc/login.defs 
PASSMAXDAYS 150 PASSMINDAYS 0 PASSWARNAGE 7 

これらの設定により、ユーザーは6ヶ月ごとにパスワードを変更する必要があり、パスワードの有効期限が切れる7日前にユーザーに通知されます。

ユーザーごとに異なるパスワード期間を設定したい場合は、chage コマンドを使用します。次のコマンドを使用すると、特定のユーザーのパスワード期間を表示できます：

$ sudo chage -l xmodulo 
Last password change : Dec 30, 2013 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7 

デフォルトでは、ユーザーのパスワードに有効期限はありません。

次のコマンドは、xmodulo ユーザーのパスワード期間を変更するために使用します：

$ sudo chage -E 6/30/2014 -m 5 -M 90 -I 30 -W 14 xmodulo 

via: