Назначение парольной политики
Требования
– Сохраняйте историю использованных паролей (количество предыдущих паролей, которые нельзя использовать повторно).
– Размер пароля (минимально допустимый размер для нового пароля).
– Установите ограничение на количество цифр в пароле.
– Установите ограничение на количество символов верхнего регистра в пароле.
– Установите ограничение на количество символов нижнего регистра в пароле.
– Установите ограничение на количество других символов в пароле.
– Установить минимальное количество обязательных классов в новом пароле (цифры, прописные, строчные, другие).
– Установите максимальное количество разрешенных последовательных одинаковых символов в новом пароле.
– Максимально допустимое количество последовательных символов одного и того же класса в новом пароле.
– Максимальное количество символов, которое разрешено использовать в новых паролях (по сравнению со старым паролем).
– Обеспечить для root сложность пароля.
Настройка парольной политики
В CentOS / RHEL 7 файл конфигурации по умолчанию настроек сложности пароля /etc/security/pwquality.conf.
Мы рассмотрим каждое требование одно за другим для установки политики паролей:
Хранить историю используемых паролей
Вставьте следующее в /etc/pam.d/system-auth и /etc/pam.d/password-auth (после строки pam_pwquality.so):
password requisite pam_pwhistory.so remember=5 use_authtok
minlen = 9 (минимальная длина пароля)
Вставьте следующую опцию в /etc/security/pwquality.conf:
minlen = 9
ПРИМЕЧАНИЕ. Вышеуказанное требование является минимально допустимым размером для нового пароля. Он будет включать в себя кредиты (плюс один), если не отключен.
dcredit = -1 (минимальное число на наличие требуемых цифр в пароле)
Вставьте следующую опцию в /etc/security/pwquality.conf:
dcredit = -1
ucredit = -1 (Минимальное число на использование для ввода заглавных букв в пароле)
Вставьте следующую опцию в /etc/security/pwquality.conf:
ucredit = -1
lcredit = 1 (Максимальное число на использование строчных букв в пароле)
Вставьте следующую опцию в /etc/security/pwquality.conf:
lcredit = 1
ocredit = 1 (Максимальное число на использование других символов в пароле)
Вставьте следующую опцию в /etc/security/pwquality.conf:
ocredit = 1
ПРИМЕЧАНИЕ. Значение кредита, настроенное для требований «3 – 6», приведено только для иллюстрации. Число кредита может быть настроена по-разному в соответствии с требованием. Ниже приведена вспомогательная информация для настройки того же самого –
- Значение кредита> 0: Максимальный кредит за наличие соответствующих символов в новом пароле.
- Значение кредита <0: минимальный обязательный кредит, необходимый для наличия соответствующих символов в новом пароле.
- Значение кредита = 0: нет обязательного требования для наличия соответствующего класса символов в новом пароле.
minclass = 1 (минимальное количество обязательных классов символов в новом пароле)
Вставьте следующую опцию в /etc/security/pwquality.conf
minclass = 1
maxrepeat = 2 (Максимальное количество разрешенных последовательных одинаковых символов в новом пароле)
maxrepeat = 2
maxclassrepeat = 2 (Максимальное количество разрешенных последовательных символов одного и того же класса в новом пароле)
Вставьте следующую опцию в /etc/security/pwquality.conf:
maxclassrepeat = 2
Максимальное количество символов, которое разрешено использовать в новых паролях (по сравнению со старым паролем).
Вставьте следующую опцию в /etc/security/pwquality.conf:
difok = 5
Использовать сложность пароля для root
Вставьте следующую опцию в /etc/security/pwquality.conf:
enforce_for_root
Заключительные мысли
Как видно из приведенных выше примеров, файл конфигурации /etc/security/pwquality.conf используется для настройки большинства правил политики паролей в CentOS / RHEL 7.
Приведенные выше примеры приведены только для иллюстрации.
Для получения дополнительной информации см. Справочную страницу pwquality.conf.
# man pwquality.conf