리눅스 분류
/etc/pam.d/system-auth 설정 관련 문의 입니다. (패스워드 정책)
작성자 정보
- 권영욱 작성
- 작성일
컨텐츠 정보
- 7,672 조회
- 1 댓글
- 0 추천
- 목록
본문
안녕하세요 리눅스 포털 회원여러분~!
추운 날씨에 감기는 안 걸리셨는지요 ㅎ
다름이 아니라 패스워드 정책에 관하여 공부하던 도중 문제점에 봉착하였습니다 ㅠㅠ
예를 들어 패스워드의 최소 길이라던가 숫자나 특수문자가 반드시 포함되어야 하는 정책을 적용하고자 하는데..
/etc/pam.d/system-auth
password required /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 dcredit=-1 ocredit=-1
위와 같이 설정을 해주었는데 패스워드에 숫자와 특수문자가 동시에 설정 되지 않았음에도 성공적으로 설정이 되어버립니다.
혹시나 해서 /etc/pam.d/passwd 에도 같은 항목을 추가해봐도, 패스워드 입력만 1번더 늘어났을뿐 정책은 적용되지 않습니다. (required -> requisite 로 수정해봐도 마찬가지구요..)
숫자 1자만 들어가도 패스워드가 생성이 되구요.. 최소길이도 정확하게 적용되지 않습니다.
#. 리눅스 커널은 RedHat 9.0 2.4.20-8 32bit 입니다.
#. '-1'이 최소 1자 이상이라면 '-2'는 최소 2자 이상이란 의미가 맞는지요?
추운 날씨에 감기는 안 걸리셨는지요 ㅎ
다름이 아니라 패스워드 정책에 관하여 공부하던 도중 문제점에 봉착하였습니다 ㅠㅠ
예를 들어 패스워드의 최소 길이라던가 숫자나 특수문자가 반드시 포함되어야 하는 정책을 적용하고자 하는데..
/etc/pam.d/system-auth
password required /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 dcredit=-1 ocredit=-1
위와 같이 설정을 해주었는데 패스워드에 숫자와 특수문자가 동시에 설정 되지 않았음에도 성공적으로 설정이 되어버립니다.
혹시나 해서 /etc/pam.d/passwd 에도 같은 항목을 추가해봐도, 패스워드 입력만 1번더 늘어났을뿐 정책은 적용되지 않습니다. (required -> requisite 로 수정해봐도 마찬가지구요..)
숫자 1자만 들어가도 패스워드가 생성이 되구요.. 최소길이도 정확하게 적용되지 않습니다.
#. 리눅스 커널은 RedHat 9.0 2.4.20-8 32bit 입니다.
#. '-1'이 최소 1자 이상이라면 '-2'는 최소 2자 이상이란 의미가 맞는지요?
관련자료
-
이전
-
다음
댓글 1
장규승님의 댓글
- 장규승
- 작성일
저두 돌아 다니다가 본건데요.. 참고하세요
[출처] http://pgclks.tistory.com/140
host login: root
configuration error - unknown item 'PASS_MIN_LEN' (notify administrator)
Password:
o 참고 URL
http://kldp.org/files/______________________________520.doc http://www.puschitz.com/SecuringLinux.shtml#EnablingPasswordAging
http://www.puschitz.com/SecuringLinux.shtml#EnforcingStrongerPasswords
o 사용예 설명
다음 예제는 어떻게 다음의 패스워드 규칙을 적용시키는가를 보여준다.
- 패스워드의 최소길이 8자
pam_cracklib.so minlen=8
- 소문자 최소 1자
pam_cracklib.so lcredit=-1
- 대문자 최소 1자
pam_cracklib.so ucredit=-1
- 숫자 최소 1자
pam_cracklib.so dcredit=-1
- 문자와 숫자이외의 문자 최소 1자(특수문자를 말하는 듯..)
pam_cracklib.so ocredit=-1
이 패스워드 제한을 설정하려면 /etc/pam.d/system-auth 파일을 열어 파란색으로 된 부분을 추가하거나
변경을 하라
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account required /lib/security/$ISA/pam_permit.so
password requisite /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
password aging은 /etc/shadow 파일을 직접 수정해서 변경할 수도 있지만
chage 명령을 이용하면 좀더 쉽게 사용할 수 있습니다.
chage -l ID : 현재의 에이징 정보
chage -m mindays ID : 암호 의무사용기간 수정
chage -M maxdays ID : 암호 유효기간 수정
chage -d lastdays ID : 암호 변경일 수
chage -E expiredays ID : 계정 만료일 수정
[출처] http://pgclks.tistory.com/140
host login: root
configuration error - unknown item 'PASS_MIN_LEN' (notify administrator)
Password:
o 참고 URL
http://kldp.org/files/______________________________520.doc http://www.puschitz.com/SecuringLinux.shtml#EnablingPasswordAging
http://www.puschitz.com/SecuringLinux.shtml#EnforcingStrongerPasswords
o 사용예 설명
다음 예제는 어떻게 다음의 패스워드 규칙을 적용시키는가를 보여준다.
- 패스워드의 최소길이 8자
pam_cracklib.so minlen=8
- 소문자 최소 1자
pam_cracklib.so lcredit=-1
- 대문자 최소 1자
pam_cracklib.so ucredit=-1
- 숫자 최소 1자
pam_cracklib.so dcredit=-1
- 문자와 숫자이외의 문자 최소 1자(특수문자를 말하는 듯..)
pam_cracklib.so ocredit=-1
이 패스워드 제한을 설정하려면 /etc/pam.d/system-auth 파일을 열어 파란색으로 된 부분을 추가하거나
변경을 하라
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account required /lib/security/$ISA/pam_permit.so
password requisite /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
password aging은 /etc/shadow 파일을 직접 수정해서 변경할 수도 있지만
chage 명령을 이용하면 좀더 쉽게 사용할 수 있습니다.
chage -l ID : 현재의 에이징 정보
chage -m mindays ID : 암호 의무사용기간 수정
chage -M maxdays ID : 암호 유효기간 수정
chage -d lastdays ID : 암호 변경일 수
chage -E expiredays ID : 계정 만료일 수정
