Неповторяемость пароля: различия между версиями
(Новая страница: «Для настройки неповторяемости паролей используется модуль pam_pwhistory, который сохраняет п…») |
(Не работает в Альт) |
||
| Строка 1: | Строка 1: | ||
{{D}} | |||
{{Attention|Не работает с tcb}} | |||
Для настройки неповторяемости паролей используется модуль pam_pwhistory, который сохраняет последние пароли каждого пользователя и не позволяет пользователю при смене пароля чередовать один и тот же пароль слишком часто. | Для настройки неповторяемости паролей используется модуль pam_pwhistory, который сохраняет последние пароли каждого пользователя и не позволяет пользователю при смене пароля чередовать один и тот же пароль слишком часто. | ||
| Строка 22: | Строка 26: | ||
*remember=N — последние N паролей для каждого пользователя сохраняются в {{path|/etc/security/opasswd}} (по умолчанию 10); | *remember=N — последние N паролей для каждого пользователя сохраняются в {{path|/etc/security/opasswd}} (по умолчанию 10); | ||
*retry=N — запросить пароль не более N раз, прежде чем вернуться с ошибкой (по умолчанию 1). | *retry=N — запросить пароль не более N раз, прежде чем вернуться с ошибкой (по умолчанию 1). | ||
Версия от 15:55, 30 апреля 2020
Для настройки неповторяемости паролей используется модуль pam_pwhistory, который сохраняет последние пароли каждого пользователя и не позволяет пользователю при смене пароля чередовать один и тот же пароль слишком часто.
Для настройки этого ограничения необходимо изменить файл /etc/pam.d/system-auth таким образом, чтобы он включал модуль pam_pwhistory после первого появления строки с паролем:
password required pam_passwdqc.so config=/etc/passwdqc.conf
password required pam_pwhistory.so use_authtok remember=10 retry=3
После добавления этой строки в файле /etc/security/opasswd будут храниться поледние 10 паролей пользователя (содержит хэши паролей всех учетных записей пользователей) и при попытке использования пароля из этого списка будет выведена ошибка:
Password has been already used. Choose another.
В случае если необходимо, чтобы проверка выполнялась и для суперпользователя root, в настройки нужно добавить параметр enforce_for_root:
password required pam_pwhistory.so use_authtok enforce_for_root remember=10 retry=3
Параметры:
- debug — включить отладку через системный журнал;
- enforce_for_root — если эта опция установлена, проверка применяется и для пользователя root;
- remember=N — последние N паролей для каждого пользователя сохраняются в /etc/security/opasswd (по умолчанию 10);
- retry=N — запросить пароль не более N раз, прежде чем вернуться с ошибкой (по умолчанию 1).