用PAM 搞定Linux 平台密码复杂度问题

星期五, 十二月 27, 20130

作为一个PAM的一个模块，pam_cracklib可以被用来检查密码是否违反密码字典，这个验证模块可以通过插入password堆栈，为特殊的应用提供可插入式密码强度性检测，能够很好地解决Linux平台密码复杂度的问题。

身边很多人有这样的困惑，无论是在做安全检查还是在做日常运维规范，对于管理员设置的密码是否达到要求比较头疼，往往只能通过观察管理员在登录的时候手指的活动区域，进而判断是否有数字、大小写、特殊字符。

Windows 平台一般管理员都比较熟悉，有专门配置复杂度的地方，如下图所示：

但是对于Linux平台却无从下手，做的好的企业会对/etc/login.defs文件进行配置，但是此文件根本解决不了密码复杂度的问题。真正解决问题的是/lib/security/pam_cracklib.so 这个文件，此文件是RedHat 开发的默认会安装，如系统中不存在，可以考虑通过YUM的方式安装cracklib-* 这个包。

仅仅一个密码复杂度的问题在pam_cracklib.so中有很多参数可以选择，具体配置如下：

debug此选为记录Syslog日志。

type=safe输入新密码的时候给予的提示。

retry=N改变输入密码的次数，默认值是1。就是说，如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数，以免一切都从头再来。

difok=N默认值为10。这个参数设置允许的新、旧密码相同字符的个数。

difignore=N多少个字符的密码应收到difok将被忽略。默认为23

minlen=N新的最低可接受的大小密码。除了在新密码的字符数。此参数的默认值是9，它是一个老式的UNIX密码的字符相同类型的所有好，但可能过低，利用一个MD5的系统增加安全性。

dcredit=N限制新密码中至少有多少个数字。

ucredit=N限制新密码中至少有多少个大写字符。

lcredit=N限制新密码中至少有多少个小写字符。

ocredit=N限制新密码中至少有多少个其它的字符。此参数用于强制模块不提示用户的新密码，但以前使用的堆叠模块提供的密码之一。

dictpath=/path/to/dict //注：密码字典，这个是验证用户的密码是否是字典一部分的关键

cracklib密码强度检测过程:

首先检查密码是否是字典的一部分，如果不是，则进行下面的检查

密码强度检测过程–>

新密码是否旧密码的回文–>

新密码是否只是就密码改变了大小写–>

新密码是否和旧密码很相似–>

新密码是否太短–>

新密码的字符是否是旧密码字符的一个循环 例如旧密码：123 新密码：231 –>

这个密码以前是否使用过

password required pam_cracklib.so \

difok=3 minlen=15 dcredit=2 ocredit=2

允许有3个新、旧密码相同字符的

最小长度15位 和至少包含2数字、至少包含2个特殊字符数

password required pam_cracklib.so \

dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8

最小长度为8和至少1位数字，1位大写字母，和另外1个字符的密码

注意这个设置对于root没有作用。只针对普通用户