PAMのpam_cracklibモジュールでパスワードポリシーを設定する事が出来ます。
1)pam_cracklibモジュールによるパスワード設定の特徴
・pam_cracklibモジュールは、パスワードの推奨設定を満たすように設定できる。
・辞書に登録されている文字列でないかチェック。
・少なくても大文字、小文字、数値、その他の特殊文字をx文字含むように設定できる。
2)パスワードポリシー設定方法
①設定するファイル
/etc/pam.d/system-authファイルに設定。
②設定例
リトライ回数を3、最小パスワード長を14、少なくても大文字、小文字、数値、その他の特殊文字を1文字含む
password required pam_cracklib.so try_first_pass retry=3 minlen=14 \
dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1
③オプションの説明
・retry=N
エラーと判定されるまでにリトライできる回数。デフォルトは1。
・minlen=N
最小パスワードサイズ。
・dcredit=N
(N>=0)数値を最大いくつ含めることができるか
(N<0)数値をいくつ以上入れる必要があるか ・ucredit=N (N>=0)大文字を最大いくつ含めることができるか
(N<0)大文字をいくつ以上入れる必要があるか ・lcredit=N (N>=0)小文字を最大いくつ含めることができるか
(N<0)小文字をいくつ以上入れる必要があるか ・ocredit=N (N>=0)その他特殊文字を最大いくつ含めることができるか
(N<0)その他特殊文字をいくつ以上入れる必要があるか ※このパスワード設定は、rootアカウントによるパスワード変更に対しては、パスワード要件を満たさないと警告はされますが、変更は出来てしまいます。
3)実行例
①パスワード文字数、文字タイプの制限を満たさない場合
新しいパスワード: よくないパスワード: 簡単すぎます
②辞書にある単語の場合
新しいパスワード: よくないパスワード: 辞書の単語に基づいています関連記事の目次