介紹如何在 Linux 中使用 pam_pwquality 模組強制設定使用者的密碼最低複雜度,增加系統安全性。
pam_pwquality 密碼品質檢查模組若要在 Ubuntu Linux 中使用 pam_pwquality 密碼品質檢查模組,可使用 apt 安裝 libpam-pwquality 套件:
# 安裝 libpam-pwquality 套件
sudo apt install libpam-pwquality
pam_pwquality 密碼品質設定開啟 /etc/pam.d/common-password 這個 PAM 的設定檔,找到以下這一行 pam_pwquality.so 的設定值:
password requisite pam_pwquality.so retry=3
在這一行的最後面可以加上多個參數設定,可用的參數與意義如下:
debugsyslog。retry=NN 次就會產生錯誤。difok=NN 個字元要與舊密碼不同,預設值為 1。若設定為 0 則代表停用相似度檢測,只要新密碼與舊密碼不要完全一樣即可。minlen=NN。dcredit=NN 大於或等於 0,則此數值代表密碼中的數字對密碼長度 minlen 的最大額外貢獻值。預設值為 0,代表數字沒有任何額外貢獻值。
若 N 小於 0,則此數值代表密碼中至少要包含多少個數字。
ucredit=NN 大於或等於 0,則此數值代表密碼中的大寫英文字母對密碼長度 minlen 的最大額外貢獻值。預設值為 0,代表大寫英文字母沒有任何額外貢獻值。
若 N 小於 0,則此數值代表密碼中至少要包含多少個大寫英文字母。
lcredit=NN 大於或等於 0,則此數值代表密碼中的小寫英文字母對密碼長度 minlen 的最大額外貢獻值。預設值為 0,代表小寫英文字母沒有任何額外貢獻值。
若 N 小於 0,則此數值代表密碼中至少要包含多少個小寫英文字母。
ocredit=NN 大於或等於 0,則此數值代表密碼中的特殊字元(除了數字、英文字母之外的字元)對密碼長度 minlen 的最大額外貢獻值。預設值為 0,代表特殊字元沒有任何額外貢獻值。
若 N 小於 0,則此數值代表密碼中至少要包含多少個特殊字元。
minclass=Nmaxrepeat=NN 個,若一個字元連續出現超過 N 次,則密碼就會被拒絕使用。maxsequence=NN 個,若單調字元連續出現超過 N 次,則密碼就會被拒絕使用。常見的單調字元有 12345、fedcb。maxclassrepeat=NN 個,若相同類型字元連續出現超過 N 次,則密碼就會被拒絕使用。gecoscheck=NN 為非 0 的數值,則檢查 /etc/passwd 的各 GECOS 欄位中,長度超過三的單字是否有被包含在密碼中。預設值為 0,代表不檢查。dictcheck=NN 為非 0 的數值,則檢查密碼是否包含於字典檔中,目前使用 cracklib 所提供的字典檔進行檢測。預設值為 1,代表進行本項檢測。usercheck=NN 為非 0 的數值,則檢查密碼是否包含使用者名稱。預設值為 1,代表進行本項檢測。enforcing=NN 為非 0 的數值,則當密碼不合格時,就強制退回密碼,讓使用者重設,若設定為 0,則當密碼不合格時就只會顯示警告訊息。預設值為 1。badwords=word1 word2 word3 ...dictpath=/path/to/dictcracklib 字典檔路徑。enforce_for_rootroot 管理者亦需遵守密碼檢查的各種規定。此功能預設為關閉,代表 root 管理者輸入不符合規定的密碼時,只會顯示警告訊息,但是依然可以使用指定的密碼。local_users_onlypam_pwquality 模組只針對存在於 /etc/passwd 的使用者進行密碼品質檢查。在實務上,我們可以依照自己的需求進行設定:
# 允許 3 次輸入密碼 # 密碼至少包含 1 個數字 # 密碼至少包含 1 個大寫字母 # 密碼至少包含 1 個特殊字元 # 密碼長度至少為 8 password requisite pam_pwquality.so retry=3 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8
若一行設定很長,可以用反斜線跳脫行尾,分成多行來寫:
# 允許 3 次輸入密碼 # 密碼至少包含大寫英文、小寫英文、數字、特殊字元四類中的三類 # 密碼長度至少為 12 # 密碼中相同的字元最多只能連續出現 2 個 password requisite pam_pwquality.so \ retry=3 minclass=3 minlen=12 maxrepeat=2