질문&답변
클라우드/리눅스에 관한 질문과 답변을 주고 받는 곳입니다.
리눅스 분류

/etc/pam.d/system-auth 설정 관련 문의 입니다. (패스워드 정책)

작성자 정보

  • 권영욱 작성
  • 작성일

컨텐츠 정보

본문

안녕하세요 리눅스 포털 회원여러분~!

추운 날씨에 감기는 안 걸리셨는지요 ㅎ

다름이 아니라 패스워드 정책에 관하여 공부하던 도중 문제점에 봉착하였습니다 ㅠㅠ

예를 들어 패스워드의 최소 길이라던가 숫자나 특수문자가 반드시 포함되어야 하는 정책을 적용하고자 하는데..
/etc/pam.d/system-auth
password          required           /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 dcredit=-1 ocredit=-1

위와 같이 설정을 해주었는데 패스워드에 숫자와 특수문자가 동시에 설정 되지 않았음에도 성공적으로 설정이 되어버립니다.

혹시나 해서 /etc/pam.d/passwd 에도 같은 항목을 추가해봐도, 패스워드 입력만 1번더 늘어났을뿐 정책은 적용되지 않습니다. (required -> requisite 로 수정해봐도 마찬가지구요..) 

숫자 1자만 들어가도 패스워드가 생성이 되구요.. 최소길이도 정확하게 적용되지 않습니다.

#. 리눅스 커널은 RedHat 9.0     2.4.20-8 32bit 입니다.
#. '-1'이 최소 1자 이상이라면 '-2'는 최소 2자 이상이란 의미가 맞는지요?

관련자료

댓글 1

장규승님의 댓글

  • 장규승
  • 작성일
저두 돌아 다니다가 본건데요.. 참고하세요

[출처] http://pgclks.tistory.com/140

host login: root
configuration error - unknown item 'PASS_MIN_LEN' (notify administrator)
Password:

o 참고 URL

http://kldp.org/files/______________________________520.doc http://www.puschitz.com/SecuringLinux.shtml#EnablingPasswordAging
http://www.puschitz.com/SecuringLinux.shtml#EnforcingStrongerPasswords

o 사용예 설명

다음 예제는 어떻게 다음의 패스워드 규칙을 적용시키는가를 보여준다.
- 패스워드의 최소길이 8자
    pam_cracklib.so minlen=8
- 소문자 최소 1자
    pam_cracklib.so lcredit=-1
- 대문자 최소 1자
    pam_cracklib.so ucredit=-1
- 숫자 최소 1자
    pam_cracklib.so dcredit=-1
- 문자와 숫자이외의 문자 최소 1자(특수문자를 말하는 듯..)
    pam_cracklib.so ocredit=-1

이 패스워드 제한을 설정하려면 /etc/pam.d/system-auth 파일을 열어 파란색으로 된 부분을 추가하거나
변경을 하라

auth          required      /lib/security/$ISA/pam_env.so
auth          sufficient      /lib/security/$ISA/pam_unix.so likeauth nullok
auth          required      /lib/security/$ISA/pam_deny.so
account      required      /lib/security/$ISA/pam_unix.so
account      sufficient      /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account      required      /lib/security/$ISA/pam_permit.so
password  requisite      /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
password  sufficient      /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password  required      /lib/security/$ISA/pam_deny.so
session      required      /lib/security/$ISA/pam_limits.so
session      required      /lib/security/$ISA/pam_unix.so

password aging은 /etc/shadow 파일을 직접 수정해서 변경할 수도 있지만
chage 명령을 이용하면 좀더 쉽게 사용할 수 있습니다.

chage -l ID : 현재의 에이징 정보
chage -m mindays ID : 암호 의무사용기간 수정
chage -M maxdays ID : 암호 유효기간 수정
chage -d lastdays ID : 암호 변경일 수
chage -E expiredays ID : 계정 만료일 수정

공지사항


뉴스광장


  • 현재 회원수 :  60,034 명
  • 현재 강좌수 :  35,785 개
  • 현재 접속자 :  240 명