Pamiętanie haseł systemowych i uniemożliwienie ponownego ich użycia

W przypadku wprowadzenia polityki okresowej zmiany haseł przydatną rzeczą jest możliwość zablokowania użytkonwikom ponownego używnia tego samego hasła. Jak tego dokonać?

Contents

Instalacja

Debian

W przypadku dystrybucji Debian konieczna jest instalacja pakietu libpam-cracklib.

Konfiguracja

Stare hasła są trzymane w pliku /etc/security/opasswd. Należy go utworzyć i zabezpieczyć. Bez tego system nie będzie działał!

touch /etc/security/opasswd
chown root:root /etc/security/opasswd
chmod 600 /etc/security/opasswd

Debian

W pliku /etc/pam.d/common-password file tworzymy (lub modyfikujemy istniejące wpisy) tak aby przy module pam_unix.so był parametr remember, liczba przy nim wskazuje ilosć pamiętanych haseł.

password required pam_cracklib.so retry=3 minlen=12 difok=4
password required pam_unix.so md5 remember=12 use_authtok

Należy jednoczesnie zakomentować linie, gdyź zmieniamy mechanizm kontroli haseł  (jest to opisane w komentarzach w tym pliku):

#password   required   pam_unix.so nullok obscure min=4 max=8 md5

Przykład zastosowania

ziutus@debian:~$ passwd
Changing password for ziutus
(current) UNIX password:
New UNIX password:
BAD PASSWORD: has been already used
New UNIX password:

Dodaj komentarz