Ich verwende Fedora 19. Standardmäßig ist es mit pam eingerichtet, um fehlerhafte Passwörter wie "Passwort" zu deaktivieren. Das ist gut. Der Versuch, diese Standardeinstellung zu ändern, ist ärgerlich. Dies ist eine Box zum Testen interner Inhalte, die weder mit dem Internet verbunden sind, noch mit einer anderen Maschine. Falsche Passwörter erleichtern den Testprozess. Alternativ, wie zum Teufel ändern Sie die Passwortanforderungen überhaupt?
system-auth
man pam_cracklib
Es gibt einige gute Beispiele für das Festlegen unterschiedlicher Kennwortanforderungen. Also öffne ich mich /etc/pam.d/system-auth
, wo du Linien siehst wie:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
password requisite pam_pwquality.so try_first_pass retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
* headdesk *. Nach meiner Erfahrung bedeuten Warnungen wie diese, dass Ihre Änderungen jedes Mal gelöscht werden, wenn der Paketmanager ausgeführt wird und / oder zufällig.
authconfig
Also ... authconfig
ist der nächste Schritt. Ich suche nach allen Dateien mit dem Namen "authconfig". /etc/sysconfig/authconfig
sieht vielversprechend aus. Und keine Warnung oben darüber, meine Änderungen aus einer Laune heraus zu zerstören. Ich finde diese Zeile USEPWQUALITY=yes
und ändere sie. Jetzt renne ich:
# authconfig --test
<snip>
pam_pwquality is enabled (try_first_pass retry=3 authtok_type=)
<snip>
wtf. Lesen wir also man authconfig
etwas genauer. Oh! Diese Datei wird anscheinend nicht von authconfig gelesen , sondern geändert . Also ... wie konfiguriert man authconfig? Das Handbuch schlägt vor system-config-authentication
, was ich installiere und was nicht wie ein Kontrollkästchen zum Deaktivieren von pam_pwquality aussieht. Der nächste Vorschlag aus dem Handbuch sind die Befehlszeilenoptionen. Großartig! Ich liebe Kommandozeilen-Tools. Nur deaktiviert keine der dokumentierten Befehlszeilenoptionen pam_pwquality.
pwquality.conf
Dank Aarons Antwort erfuhr ich, dass Fedora vor ein paar Jahren beschlossen hat, /etc/security/pwquality.conf
die Anforderungen an die Passwortqualität zu konfigurieren. Leider gibt es, wie in der Datei und in dokumentiert man 5 pwquality.conf
, (1) keine Möglichkeit, die Wörterbuchprüfung zu deaktivieren, und (2) kann die zulässige Kennwortlänge nicht unter sechs setzen.
yum remove pam
entfernt, soweit ich anhand der Zeit, die zum Scrollen aller abhängigen Pakete benötigt wird, alles erkennen kann . Einschließlich yum und systemd. Das Deaktivieren von Pam fühlt sich auch wie ein Vorschlaghammer an, wenn ich denke, ich möchte nur Sandpapier verwenden.Antworten:
Nach einem flüchtigen Blick auf den Quellcode in
/usr/sbin/authconfig
und/usr/share/authconfig/authinfo.py
:authconfig --help
/etc/security/pwquality.conf
Einstellungen wie die Mindestlänge des Passworts), mit Ausnahme von pwquality. IMHO, das ist ein Fehler und sollte gemeldet werden.Aus den
authinfo.py
Zeilen 2489 und 2156:Zuerst
readSysconfig
liest/etc/sysconfig/authconfig
; dann wird das, was Sie dort setzen, überschriebenreadPAM
mit dem, was drin ist/etc/pam.d/*
(besonderspassword_auth*
undsystem_auth*
):TL; DR : Für die Optionen, die nicht überschrieben werden (oder nicht überschrieben werden können), werden die Einstellungen aus der aktuellen Konfiguration übernommen, einschließlich Dateien, die als automatisch generiert markiert sind . Bearbeiten
/etc/sysconfig/authconfig
und entfernen Sie die von angezeigten Zeilen, damit es funktioniertgrep -E pwq\|crack /etc/pam.d/*
Bearbeiten : Es gibt einen zweiten Fehler, der dazu führt, dass der obige Rat immer noch nicht funktioniert: Zeile 2248:
Sie müssen eine der beiden Implementierungen der Qualitätskontrolle auswählen, oder eine wird für Sie ausgewählt! In Kombination mit dem ersten Fehler ist eine Deaktivierung nicht möglich.
quelle
Sie können Ihre
system-auth
Datei manuell steuern . Erstellen Sie eine neue Datei (Sie können mit dem Kopieren beginnensystem-auth-ac
) und ändern Sie densystem-auth
Symlink so, dass er auf die neue Datei zeigt.Daher liegt es in Ihrer Verantwortung, diesen Teil Ihrer PAM-Konfiguration zu aktualisieren, da authconfig den Symlink oder die Datei, auf die er verweist, nicht mehr berührt. Authconfig aktualisiert die
system-auth-ac
Datei jedoch weiterhin, sodass Sie sie bei Bedarf weiterhin als Referenz verwenden können. Mit etwas Klugheit können Sie es vielleicht sogarinclude
in Ihre lokale Kopie einfügen, aber wie das geht, geht über den Rahmen dieser Frage hinaus.Sie sollten auch nach anderen Symlinks suchen, z
password-auth
. Möglicherweise müssen Sie ihnen die gleiche Behandlung geben.Aus der
authconfig(8)
Manpage unterFiles
:Wenn
system-auth
es sich also um eine Datei handelt, ändert authconfig diese, um sie zu verknüpfensystem-auth-ac
. Wennsystem-auth
es sich jedoch um einen Symlink handelt, lässt authconfig ihn in Ruhe.quelle
Es scheint durch konfigurierbar zu sein
/etc/security/pwquality.conf
Quelle: https://fedoraproject.org/wiki/Features/PasswordQualityChecking
quelle
pwquality.conf
Deaktivieren von Wörterbuchprüfungen oder Kennwortlängenprüfungen wird leider nicht unterstützt.authconfig --updateall
die Dateien durch Ausführen zurückgesetzt. Ich bin völlig ratlos über diese Antwort, da sie dem beobachteten Verhalten direkt widerspricht.USEPWQUALITY=no
und / oderUSECRACKLIB=no
nicht löse, noch bevor authconfig ausgeführt wird.Sie können weiterhin über die Befehlszeile wechseln. Sie erhalten eine Warnung, mit der Sie jedoch ein zu kurzes Kennwort sowie ein Kennwort festlegen können, das den Komplexitätsregeln nicht entspricht.
quelle
passwd <username>
Befehl als root (entweder mitsudo passwd <username>
oder nachsu -
dem Root-Terminal.passwd
als Root ausgeführt werden, werden die Kennwortrichtlinien ignoriert. Wenn Sie es nur einmal einstellen und vergessen müssen, funktioniert das. Wenn Sie versuchen, es so einzustellen, dass jeder Benutzer seine Passwörter frei ändern kann, benötigen Sie eine andere Lösung.passwd
ohne von pam fd. Wenig mit der eigentlichen Frage zu tun, aber es macht die Behauptung in dieser "Antwort" wahr.Ich habe diese Frage gerade aufgrund einer ähnlichen Suche gefunden und glaube, ich habe eine Antwort für Sie.
Fedora erstellt symbolische Links zu den von authconfig generierten Dateien. dh.
system-auth
Links zusystem-auth-ac
. Wenn Siesystem-auth
eine eigene Datei erstellen, werden theoretisch alle zukünftigen Änderungen vonauth-config
weiterhin aktualisiertsystem-auth-ac
, Ihre geänderten Dateien bleiben jedoch unverändert.Es ist eigentlich ziemlich elegant, aber ich habe es erst entdeckt, als ich mich gefragt habe, was die
*-ac
Dateien gemacht haben.quelle
authconfig
(z. B.authconfig --updateall
) löscht Ihre Datei und verknüpft sie wieder mit der-ac
Datei.