Parlez de la façon d'utiliser la théorie derrière le tutoriel, puis à nouveau son savoir pourquoi le Prophète
1. Il est interdit d'utiliser l'ancien mot de passe
nous /etc/pam.d/system-auth
Trouver tout « mot de passe » et « pam_unix.so champ » et ajouté à la ligne « Souviens - toi = 5 », qui représente l'interdiction de l'utilisation des cinq mots de passe (mots de passe déjà utilisés les plus récemment utilisés sont stockés dans / etc / security / opasswd ci - dessous).
Mot de passe pam suffisamment unix.so ombre sha512 nullok essayer d' abord passer l' utilisation authtok souvenir = 5
2. Définissez la longueur du mot de passe minimum
nous /etc/pam.d/system-auth
Trouvé tandis que « mot de passe » et « le pam_cracklib.so » champ et ajouté à la ligne « minlen = 10 », qui représente la longueur de mot de passe du minimum (10 - nombre de types). Ici, « le nombre de type » représente le nombre de différents types de caractères. PAM fournit quatre types de symboles que le mot de passe ( en majuscules lettres minuscules, des lettres, des chiffres et des signes de ponctuation). Si vous utilisez ce mot de passe alors que quatre types de symboles, et que votre minlen à 10, puis la longueur du mot de passe minimum autorisé est de six caractères.
mot de passe requis pam_cracklib.so retry = 3 = 3 difok minlen = 10
3. Définir le mot complexité
nous /etc/pam.d/system-auth
Trouver tout « mot de passe » et « la pam_cracklib.so » cette ligne.
# Retry autorisé à réessayer trois fois
# Difok = N: nouveau mot de passe et l'ancien mot de passe requis nombre différent de bits difok = 3 nouveau mot de passe doit avoir trois différents que l'ancien mot de passe
# MinLEN nombre minimal de chiffres
# lettres majuscules Ucredit chiffres
# lettres minuscules de chiffres Lcredit
# Dcredit = N: N> = 0: un nombre maximal de chiffres du mot de passe; N <0 mot de passe nombre minimum de chiffres dcredit = -1 mot de passe moins un chiffre.
# Ocredit = N: le nombre de caractères spéciaux ocredit = -1 mots de passe d'au moins un caractère spécial
# Cela signifie que le mot de passe doit contenir au moins une lettre majuscule (de ucredit), deux lettres minuscules (de lcredit), un appareil photo numérique (dcredit) et une ponctuation (ocredit).
mot de passe requis pam_cracklib.so retry = 3 = 3 difok minlen = 10 ucredit = -1 lcredit = -2 dcredit = -1 ocredit = -1
4. Définissez la période d'expiration de mot de passe
nous /etc/login.defs
PASS MAX JOURS Période de validité maximale 99999 # 99999 mot de passe: il y a une scène permanente
PASS MIN JOURS 0 # si vous souhaitez modifier le mot de passe, 0 peut être modifié, modifié en un mot de passe non nul besoin de modifier le nombre de jours intervalle peut être modifié
PASS_MIN_LEN 5 # longueur minimale de mot de passe, utiliser le module de pam_cracklib, le paramètre n'est plus valide
PASS WARN AGE 7 de jours avant l' expiration du mot de passe pour avertir l'utilisateur de changer le mot de passe lorsque l'utilisateur se connecte
la politique de mot de passe Linux connaissances théoriques:
PAM (Pluggable Authentication Modules) est un mécanisme d'authentification proposé par Sun. En fournissant une bibliothèque de lien dynamique et un ensemble unifié de l' API, pour séparer le service d'authentification et le service fourni par le système, ce qui rend le système aux administrateurs la flexibilité des différents services à différents modes d'authentification sans avoir à modifier le programme de service selon les besoins , mais aussi facile d'ajouter de nouvelles méthodes d'authentification au système. PAM a été intégré dans Solaris, il a été porté à d' autres systèmes, tels que Linux, SunOS, HP-UX 9.0 et ainsi de suite.
configuration PAM par un seul fichier de configuration /etc/pam.conf . RedHat supports d' une configuration de remplacement, à savoir le répertoire de configuration par /etc/pam.d/ , et ce mode de réalisation est supérieure à la priorité des profils individuels .
1, en utilisant le fichier de configuration /etc/pam.conf
Ce document est une ligne composée des éléments suivants:
-Service-Control de type nom Module1 Dans les arguments Drapeau-chemin Module1
nom_de_service nom du service, comme telnet, connexion, ftp, et le nom du service « AUTRE » au nom de tousautres services ne sont pas explicitement configuré dans le fichier.
Type de module module comporte quatre types: auth, account, session, motpassesavoir correspondant à quatre supportsgestion de PAM.
Le même service peut appeler plusieurs modules d'authentification PAM, ces modules forment une pile.
contrôle-drapeau est utilisé pour indiquerbibliothèque PAM surfaçon de traiteraffaires liées à la réussite ouéchec du module de service PAM.
Il a quatre valeurs possibles: nécessaire, nécessaire, suffisante, en option.
requis indique que le module doit matcher à passercertification, mais si vous retournez le module échoue, le résultat ne manquera pas d'informer immédiatement l'utilisateur,
Mais attendre jusqu'à ce que tous les modules de la même pile tous fini, puis échoué à renvoyer les résultats à l'application.
Cette mise en œuvre réussie de toutes les politiques à venir à travers, il y a un échec ne revient pas immédiatement, en attendant l'achèvement de la mise en œuvre du module avant de revenir.
requisite et nécessaire similaire au module doit matcher à passercertification,
Mais une fois l'échec de retour du module, n'effectuer un module dans le même pile, mais retournera contrôle à l'application directement.
Il est une condition nécessaire. Note: Ceci est pris en charge uniquement RedHat, Solaris ne prend pas en charge
Cette mise en œuvre réussie de toutes les politiques à venir à travers, en cas de défaut de revenir immédiatement.
suffisante montrent que le module a étésuccès suffisant pourretour en exigeantauthentification, ne doivent pas effectuerautres modules dans le même pile
Mais si ce module retourne l'échec, vous pouvez ignorer.
en option montrent que le module est facultatif, et son succès ne joue pasgénéral un rôle clé dansauthentification, la valeur de retour est généralement ignorée.
contrôle-drapeau deversion LinuxPAM-0,63 partir, prendcharge une nouvelle syntaxe se trouvedocument spécifique de LinuxPAM.
module chemin est utilisé pour indiquer le chemin d'accès de ce fichier de programme correspondant au module, utilisez généralement un chemin absolu, un chemin absolu sinon donné
Par défaut, ce fichier dans le répertoire / / usr / lib sécurité ci-dessous.
arguments sont utilisés pour transmettreparamètres pour le module. Paramètres généraux pour chaque module ne sont pas identiques, le module peut être défini par son développeur,
Cependant, il y a plusieurs paramètres communs:
déboguer ce module doit être utilisé pour syslog ()informationsdébogage est écrit dans le fichier journal du système.
no_warn indique que le module ne doit pas envoyer un message d'avertissement à l'application.
use_first_pass indique que le module ne l'utilisateur ne invite à entrer un motpasse, et doit être utilisé avant un module dérivé du motpasse deutilisateur.
try_first_pass indique que le module estabord obtenumotspasse avantun module doit être utilisé par l'utilisateur,
Si la vérification de mot de passe ne passe, l'utilisateur est invité à saisir un nouveau mot de passe.
use_mapped_pass Le module ne invite l'utilisateur à saisir un mot de passe mot de passe, mais en utilisant la carte avant.
expose_account permettant au module d'informations d'affichage d'un nom de compte utilisateur et autres, généralement utilisé dans un environnement sûr,
Parce que la fuite du nom d'utilisateur entraînera un certain degré de menace pour la sécurité.
2, en utilisant le répertoire de configuration /etc/pam.d/
Le nom de chaque fichier dans le répertoire correspondant au nom de service, comme fichier de correspondance service FTP /etc/pam.d/ftp. Si le service est nommé xxxx correspondant au profil /etc/pam.d/xxxx n'existe pas, le service utilisera le fichier de configuration par défaut /etc/pam.d/other. Chaque fichier est composé de lignes de texte dans le format suivant:
Module1 type de contrôle-arguments En Drapeau-chemin Module1
même sens et chaque champ /etc/pam.conf.
Mot de passe complexité /etc/pam.d/system-auth ce fichier est atteint par le
Nous regardons ce que le contenu par défaut de ce fichier, puis une sauvegarde:
Dans ce document , nous utiliserons pam_cracklib.so ce module. pam_cracklib.so est une commune et très important module PAM. Le rôle principal de ce module est la robustesse du mot de passe de l' utilisateur est détecté. Et limite contrôle- à -dire la longueur définie par l' utilisateur, la complexité et l' histoire passe et autres. Le mot de passe ne satisfait pas la force refusera d'utilisation.
pam_cracklib.so plus important et difficile à comprendre que certains de ses paramètres et la méthode de comptage comprenant des paramètres communs:
débogage : informations de débogage écrit dans le journal,
type = XXX : Lors de l' ajout / modification d' un mot de passe, le système donne l'invite par défaut l' opérateur est « Nouveau mot de passe UNIX: » et « le Retaper UNIX
mot de passe : », le paramètre peut être utilisé pour personnaliser le mot de passe rapide, comme en spécifiant votre propre mot = le type,
la nouvelle tentative = N : définition login / modification de mot de passe échoue, nombre de relances;
Difok = N : définir un nouveau mot de passe doit avoir plusieurs caractères pour être différent de l'ancien mot de passe. Toutefois, si plus de la moitié de l'ancien mot de passe et les nouveaux personnages de mot de passe ne sont pas identiques, le nouveau mot de passe sera acceptée,
le minlen = N : l' utilisateur longueur de mot de passe minimum défini;
dcredit = N : le mot de passe d'un utilisateur doit être défini le nombre de chiffres comprenant;
N = ucredit : définition du mot de passe d'un utilisateur doit contenir un certain nombre de lettres majuscules;
lcredit = N : la définition du mot de passe d'un utilisateur doit contenir de nombreuses petites lettres minuscules;
ocredit = N : la définition du mot de passe d'un utilisateur doit contenir le nombre de caractères spéciaux (en plus des numéros, des lettres extérieur)
OpenLDAP en utilisant l'intégration de PAM pour parvenir à un système de gestion unifiée des utilisateurs Linux
http://www.linuxidc.com/Linux/2014-08/105597.htm
travaux de serveur FTP et comment implémenter l'authentification de connexion de l'utilisateur virtuel via PAM
http://www.linuxidc.com/Linux/2013-05/84984.htm
Procédé de configuration PAM
http://www.linuxidc.com/Linux/2012-12/76812.htm
ssl / tls communication sécurisée et mettre en œuvre vsftpd virtuelle pour l'authentification des utilisateurs vsftpd par PAM-base
http://www.linuxidc.com/Linux/2013-05/84475.htm
Linux utilise pamjdap par ad authentification de domaine
http://www.linuxidc.com/Linux/2012-09/71043.htm
Intégration vsftp + PAM + gestion centralisée de mysql compte ftp virtuel
http://www.linuxidc.com/Linux/2012-08/68391.htm
Note configuration de l'installation vsftpd2.3.5 + PAM
http://www.linuxidc.com/Linux/2012-07/66658.htm