本篇介紹如何在 Ubuntu Linux 中設定 PAM 驗證模組,讓使用者更改密碼時不可以重複使用前三次用過的舊密碼。
相關文章:
Linux 停用使用者帳號、設定使用期限教學與範例
Linux 強制使用者下次登入修改密碼教學
Linux 設定使用者密碼使用期限教學與範例
Linux 強制密碼最低複雜度 pam_pwquality 設定教學與範例
Linux 停用使用者帳號、設定使用期限教學與範例
Linux 強制使用者下次登入修改密碼教學
Linux 設定使用者密碼使用期限教學與範例
Linux 強制密碼最低複雜度 pam_pwquality 設定教學與範例
pam_unix
pam_unix.so 是 Linux 中標準的驗證模組,預設就已經安裝在系統上,此模組本身就支援不重複使用密碼的設定。
編輯 /etc/pam.d/common-password 設定檔,在 pam_unix.so 的設定選項中,加上 remember=3,代表不重複使用過去 3 組舊密碼:
# 不重複使用過去 3 組舊密碼 password [success=1 default=ignore] pam_unix.so obscure sha512 remember=3
加入了 remember=3 選項之後,使用者的舊密碼就會以 MD5 的方式被儲存在 /etc/security/opasswd 檔案中,每當使用者變更密碼時,系統就會自動檢查新密碼是否跟舊的密碼有重複。如果希望記憶更多組舊密碼,可以自己更改 remember 的值。
設定了 pam_unix.so 的 remember 參數之後,不需要重新啟動任何服務,新設定就會直接生效,此時若使用者在更改密碼時使用了舊的密碼,舊會出現這樣的錯誤訊息:
Password has been already used. Choose another.
pam_pwhistory
若不想使用 pam_unix.so 中的 remember 參數,pam_pwhistory 模組是另外一個替代方案,以下是使用範例:
# 不重複使用過去 3 組舊密碼 password required pam_pwhistory.so remember=3 password [success=1 default=ignore] pam_unix.so obscure sha512 use_authtok
密碼使用期限
設定好不重複使用前三次密碼之後,通常也會要求使用者要定期更換密碼,建議參考 Linux 透過 login.defs 設定密碼使用期限教學與範例,設定密碼的使用期限。