J'utilise Fedora 19. Par défaut, il est configuré avec pam pour désactiver les mauvais mots de passe, comme "mot de passe". C'est bon. Essayer de changer cette valeur par défaut est exaspérant. Ceci est une boîte pour tester des trucs internes, non connectés à Internet, ni aucune machine qui l'est. Les mauvais mots de passe facilitent le processus de test. Sinon, comment diable changez-vous les exigences de mot de passe?
auth système
man pam_cracklib
contient de bons exemples de définition de différentes exigences de mot de passe. J'ouvre donc /etc/pam.d/system-auth
, c'est là que vous voyez des lignes comme:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
password requisite pam_pwquality.so try_first_pass retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
* headdesk *. D'après mon expérience, des avertissements comme celui-ci signifient que vos modifications sont effacées à chaque exécution du gestionnaire de packages et / ou de manière aléatoire.
authconfig
Alors ... authconfig
est la prochaine étape. Je recherche tous les fichiers nommés "authconfig". /etc/sysconfig/authconfig
Cela semble prometteur. Et, aucun avertissement au sommet sur la destruction de mes modifications sur un coup de tête. Je trouve cette ligne USEPWQUALITY=yes
et la change. Maintenant je lance:
# authconfig --test
<snip>
pam_pwquality is enabled (try_first_pass retry=3 authtok_type=)
<snip>
wtf. Alors lisons man authconfig
un peu plus près. Oh! On dirait que ce fichier n'est pas lu par authconfig, il a changé . Alors .... comment configurez-vous authconfig? Le manuel suggère system-config-authentication
, que j'installe et ne fournit rien qui ressemble à une case à cocher pour désactiver pam_pwquality. La prochaine suggestion du manuel concerne les options de ligne de commande. Génial! J'adore les outils de ligne de commande. Seulement, aucune des options de ligne de commande documentées ne désactive pam_pwquality.
pwquality.conf
Grâce à la réponse d'Aaron, j'ai appris qu'il y a quelques années, fedora a décidé de faire de /etc/security/pwquality.conf
la place pour configurer les exigences de qualité des mots de passe. Malheureusement, comme indiqué dans le fichier et dans man 5 pwquality.conf
, il n'y a (1) aucun moyen de désactiver la vérification du dictionnaire et (2) ne peut pas définir une longueur de mot de passe autorisée inférieure à six.
yum remove pam
supprime, pour autant que je sache, le temps qu'il faut pour faire défiler tous ses packages dépendants, tout . Y compris yum et systemd. De plus, la désactivation du pam ressemble à un marteau, quand je pense que je veux juste utiliser du papier de verre.Réponses:
Après un aperçu rapide du code source dans
/usr/sbin/authconfig
et/usr/share/authconfig/authinfo.py
:authconfig --help
/etc/security/pwquality.conf
paramètres comme la longueur minimale du mot de passe), à l' exception de pwquality lui-même. À mon humble avis, ceci est un bug et doit être signalé.De la
authinfo.py
ligne 2489 et 2156:Première
readSysconfig
lecture/etc/sysconfig/authconfig
; alors ce que vous y mettez est remplacé parreadPAM
ce qui est dedans/etc/pam.d/*
(surtoutpassword_auth*
etsystem_auth*
):TL; DR : pour les options qui ne sont pas remplacées (ou ne peuvent pas l'être), les paramètres sont issus de la configuration actuelle, y compris les fichiers qui sont étiquetés générés automatiquement . Pour le faire fonctionner, modifiez
/etc/sysconfig/authconfig
et supprimez les lignes affichées pargrep -E pwq\|crack /etc/pam.d/*
Edit : il y a un deuxième bug, qui fait que les conseils ci-dessus ne fonctionnent toujours pas: ligne 2248:
Vous devez choisir l'une des deux implémentations de contrôle qualité, ou une sera choisie pour vous! Combiné avec le premier bug, cela rend impossible la désactivation.
la source
Vous pouvez contrôler manuellement votre
system-auth
fichier. Créez un nouveau fichier (vous pouvez commencer par copiersystem-auth-ac
) et modifiez lesystem-auth
lien symbolique pour pointer vers le nouveau fichier.Cela vous oblige à mettre à jour cette partie de votre configuration PAM, car authconfig ne touchera plus le lien symbolique ou le fichier vers lequel il pointe. Cependant, authconfig mettra toujours à jour le
system-auth-ac
fichier, vous pouvez donc continuer à l'utiliser comme référence si vous en avez besoin. Avec un peu d'intelligence, vous pourrez peut-être même le faireinclude
dans votre copie locale, mais comment le faire dépasse le cadre de cette question.Vous devez également rechercher d'autres liens symboliques, tels que
password-auth
. Vous devrez peut-être leur donner le même traitement.De la
authconfig(8)
page de manuel, sousFiles
:Donc, si
system-auth
c'est un fichier, authconfig le modifie pour le liersystem-auth-ac
. Mais sisystem-auth
est un lien symbolique, authconfig le laisse seul.la source
Il semble être configurable via
/etc/security/pwquality.conf
Source: https://fedoraproject.org/wiki/Features/PasswordQualityChecking
la source
pwquality.conf
ne prend pas en charge la désactivation des vérifications de dictionnaire ou la désactivation des vérifications de la longueur des mots de passe.authconfig --updateall
réinitialise les fichiers. Je suis profondément perplexe à cette réponse, car elle contredit directement le comportement que j'observe.USEPWQUALITY=no
et / ouUSECRACKLIB=no
ne résout pas mon problème non plus, avant même d'exécuter authconfig.Vous pouvez toujours changer à partir de la ligne de commande. Vous obtenez un avertissement, mais cela vous permettra de définir un mot de passe trop court, ainsi qu'un autre qui ne respecte pas les règles de complexité.
la source
passwd <username>
commande en tant que root (avecsudo passwd <username>
ou après lesu -
terminal root.passwd
tant que root, il ignorera les stratégies de mot de passe. Si vous avez juste besoin de le régler une fois et de l'oublier, cela fonctionnera. Si vous essayez de le configurer pour que chaque utilisateur puisse modifier librement ses mots de passe, alors vous avez besoin d'une autre solution.passwd
sans être fd avec pam. Peu de chose à voir avec la question réelle, mais cela rend la revendication de cette "réponse" vraie.Je viens de trouver cette question basée sur une recherche connexe, et je pense avoir une réponse pour vous.
Fedora crée des liens symboliques vers les fichiers générés par authconfig. c'est à dire.
system-auth
liens verssystem-auth-ac
. Si vous créezsystem-auth
son propre fichier, alors théoriquement, toutes les modifications futures apportées parauth-config
seront toujours mises à joursystem-auth-ac
mais laisser vos fichiers modifiés inchangés.C'est en fait assez élégant, mais je ne l'ai découvert qu'en me demandant ce que
*-ac
faisaient les fichiers.la source
authconfig
(par exempleauthconfig --updateall
) supprimera votre fichier et le redirigera vers le-ac
fichier.