Я настраиваю правила паролей в системе Linux (RedHat Enterprise linux 5). С помощью Google я обнаружил, что использование pam_cracklib автоматически выполняет простую проверку. То есть pam_cracklib автоматически проверит, является ли новый пароль паролем, обратным предыдущему. Если да, он отклонит новый пароль.
Однако я попробовал ввести новый пароль, противоположный предыдущему, новый пароль вступит в силу! То есть pam_cracklib разрешит новый пароль (обратный предыдущему). Вот моя конфигурация:
/etc/pam.d/system-auth:
password required pam_cracklib.so try_first_pass retry=3 minlen=6
Может ли кто-нибудь сказать мне, что с моей конфигурацией что-то не так? Или есть баги с pam_cracklib?
Большое спасибо!
Вы не можете использовать try_first_pass с Cracklib. Он должен проверить, является ли пароль палиндромом или ротацией старого пароля по умолчанию.
Более того, другие модули (возможно, pam_unix.so или pam_ldap.so) в стеке должен использовать use_authok флаг, или им будет разрешено запрашивать пароль у пользователя, если предыдущий модуль не принял предоставленный пароль.
Короче попробуйте:
password required pam_cracklib.so retry=3 minlen=6 password required pam_unix.so use_authok nullok md5
В nullok flag говорит модулю, что можно изменить пароль с пустого (обычный метод принудительной смены пароля в системах UNIX), вы можете удалить его, если не используете эту функцию.