Как установить политику паролей в CentOS / RHEL 7

Назначение парольной политики

Требования

— Сохраняйте историю использованных паролей (количество предыдущих паролей, которые нельзя использовать повторно).
— Размер пароля (минимально допустимый размер для нового пароля).
— Установите ограничение на количество цифр в пароле.
— Установите ограничение на количество символов верхнего регистра в пароле.
— Установите ограничение на количество символов нижнего регистра в пароле.
— Установите ограничение на количество других символов в пароле.
— Установить минимальное количество обязательных классов в новом пароле (цифры, прописные, строчные, другие).
— Установите максимальное количество разрешенных последовательных одинаковых символов в новом пароле.
— Максимально допустимое количество последовательных символов одного и того же класса в новом пароле.
— Максимальное количество символов, которое разрешено использовать в новых паролях (по сравнению со старым паролем).
— Обеспечить для root сложность пароля.

Настройка  парольной политики

В CentOS / RHEL 7 файл конфигурации по умолчанию настроек сложности пароля /etc/security/pwquality.conf.

Мы рассмотрим каждое требование одно за другим для установки политики паролей:

Хранить историю используемых паролей

Вставьте следующее в /etc/pam.d/system-auth и /etc/pam.d/password-auth (после строки pam_pwquality.so):

password    requisite     pam_pwhistory.so remember=5 use_authtok

minlen = 9 (минимальная длина пароля)

Вставьте следующую опцию в /etc/security/pwquality.conf:

minlen = 9

ПРИМЕЧАНИЕ. Вышеуказанное требование является минимально допустимым размером для нового пароля. Он будет включать в себя кредиты (плюс один), если не отключен.

dcredit = -1 (минимальное число на наличие требуемых цифр в пароле)

Вставьте следующую опцию в /etc/security/pwquality.conf:

dcredit = -1

ucredit = -1 (Минимальное число на использование для ввода заглавных букв в пароле)

Вставьте следующую опцию в /etc/security/pwquality.conf:

ucredit = -1

lcredit = 1 (Максимальное число на использование строчных букв в пароле)

Вставьте следующую опцию в /etc/security/pwquality.conf:

lcredit = 1

ocredit = 1 (Максимальное число на использование других символов в пароле)

Вставьте следующую опцию в /etc/security/pwquality.conf:

ocredit = 1

ПРИМЕЧАНИЕ. Значение кредита, настроенное для требований «3 — 6», приведено только для иллюстрации. Число кредита может быть настроена по-разному в соответствии с требованием. Ниже приведена вспомогательная информация для настройки того же самого —

  • Значение кредита> 0: Максимальный кредит за наличие соответствующих символов в новом пароле.
  • Значение кредита <0: минимальный обязательный кредит, необходимый для наличия соответствующих символов в новом пароле.
  • Значение кредита = 0: нет обязательного требования для наличия соответствующего класса символов в новом пароле.

minclass = 1 (минимальное количество обязательных классов символов в новом пароле)

Вставьте следующую опцию в /etc/security/pwquality.conf

minclass = 1

maxrepeat = 2 (Максимальное количество разрешенных последовательных одинаковых символов в новом пароле)

maxrepeat = 2

maxclassrepeat = 2 (Максимальное количество разрешенных последовательных символов одного и того же класса в новом пароле)

Вставьте следующую опцию в /etc/security/pwquality.conf:

maxclassrepeat = 2

Максимальное количество символов, которое разрешено использовать в новых паролях (по сравнению со старым паролем).

Вставьте следующую опцию в /etc/security/pwquality.conf:

difok = 5

Использовать сложность пароля для root

Вставьте следующую опцию в /etc/security/pwquality.conf:

enforce_for_root

Заключительные мысли

Как видно из приведенных выше примеров, файл конфигурации /etc/security/pwquality.conf используется для настройки большинства правил политики паролей в CentOS / RHEL 7.

Приведенные выше примеры приведены только для иллюстрации.

Для получения дополнительной информации см. Справочную страницу pwquality.conf.

# man pwquality.conf

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40