Wie legen Sie Anforderungen (z. B. Mindestlänge) für Kennwörter fest?

18

Gibt es eine Möglichkeit, Mindestanforderungen für Passcodes festzulegen, z. B. eine Mindestlänge, Anforderungen für alphanumerische Zeichen in Groß- und Kleinschreibung und mindestens 1 Symbol im Passcode, und dies bei Änderungen des Passcodes durchzusetzen?

security password pam Thomas Ward
quelle

Antworten:

21

Die Kennwortkomplexität in Ubuntu wird von PAM gesteuert. Leider ist PAM in seiner Herangehensweise "typisch für Unix". Dies bedeutet, dass die Konfiguration über eine große Anzahl sehr verwirrender Dateien verteilt wird.

Die Datei, die die Kennwortkomplexität steuert, lautet:

/etc/pam.d/common-password

Es gibt eine Linie:

password [success=1 default=ignore] pam_unix.so obscure sha512

Damit werden die Grundregeln für die Komplexität von Passwörtern festgelegt. Sie können eine Überschreibung mit minimaler Länge hinzufügen, indem Sie Folgendes festlegen:

password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=12

oder was auch immer Sie wollen. Wie Sie sehen, sind in der Standardeinstellung bereits einige grundlegende Regeln für die Verschleierung festgelegt. Diese Grundregeln können eingesehen werden in:

man pam_unix

Suche nach "obscure".

Es gibt eine große Anzahl von Pam-Modulen, die installiert werden können.

apt-cache search libpam-

Sollte es dir zeigen.

Ich fürchte, Sie müssen die Dokumentation für sie aufspüren. Aber die "Cracklib" ist eine häufige Ergänzung.

UPDATE: Ich hätte darauf hinweisen sollen, dass der voreingestellte "obscure" -Parameter Tests auf Komplexität basierend auf vorherigen Passwörtern und Einfachheit (Länge, Anzahl verschiedener Arten von Zeichen) beinhaltet. Das Beispiel in der Manpage zeigt cracklib in Aktion. Installieren Sie libpam_cracklib, damit das funktioniert.

Sobald Sie festgelegt haben, was geändert werden soll, sind die Änderungen in anderen Dateien identisch, sodass Sie für SSH und andere Anwendungen dieselben (oder unterschiedliche) Kennwortprüfungen erzwingen können.

Julian Knight
quelle
Laut man pam_unixist die Standard-Passwort-Minimallänge 6 Zeichen, wenn Sie suchen minlen.
Timo
Dies funktioniert nicht für Ubuntu 18.04 - auch mit dieser Einstellung kann ich jedes gewünschte Passwort eingeben (kurz, Palindrom, ..) - Ich muss nur ein solches Passwort 4x wiederholen :(
xhudik
Wenn Sie "funktioniert nicht" sagen, ist nicht klar, was Sie meinen. Meinst du damit, dass es funktioniert , aber dass das 4-fache Wiederholen des kurzen Passworts eine Art "Umgehung" ist? Könnten Sie sonst bitte klarstellen?
Julian Knight
1

Kennwortwerte werden in der Datei gesteuert 

/etc/pam.d/common-password

Weitere Informationen zum Ändern der Datei finden Sie in der Manpage pam_unix

Mitch
quelle
1
Sie haben pam_unix (5) aufgelistet, die richtige Seite ist pam_unix (8) linux.die.net/man/8/pam_unix . Tatsächlich scheinen die Online-Versionen der Manpage aus irgendeinem Grund nicht den wichtigen Abschnitt des Parameters "obscure" aufzulisten - den, den ich in meine Antwort aufgenommen habe. Wenn Sie ein tun man pam_unix, können Sie es jedoch sehen.
Julian Knight
1
@ JulianKnight Danke für den Kommentar. Ich habe den Link gefixt :)
Mitch
1

Mit vorinstallierten PAM-Modulen können Sie grundlegende Anforderungen im Lichte der Komplexität festlegen. Es gibt ein nettes Modul, das ein Nachfolger des Moduls pam_cracklib ist - pam_pwquality. Um es zu installieren, geben Sie Folgendes ein

apt-get install libpam-pwquality

dann mach dich mit diesem vertraut

man pam_pwquality

vor allem mit dem Abschnitt "Optionen".

Nun können Sie das gemeinsame Passwort in /etc/pam.d/ bearbeiten.

vi /etc/pam.d/common-password

Suchen Sie die Zeile, die die folgende "password requisite pam_pwquality.so" -Anweisung enthält, und fügen Sie nach pam_pwquality.so Ihre Optionen wie folgt hinzu

password        requisite         pam_pwquality.so minlen=16 ucredit=-4 retry=3

was für "die minimale Größe des Passworts ist 16 Zeichen, wobei mindestens 4 von ihnen ein Großbuchstabe. Benutzer 3-mal zur Passworteingabe auffordern.

Mit pam_pwquality können Sie in Kombination mit anderen Modulen wie pam_pwhistory komplexere Kennwortanforderungen stellen. Viel Glück

Piotr Kowalczyk
quelle