[Linux / 진단 상식] 리눅스 패스워드 복잡성 1 / pam_cracklib.so , pam_pwquality.so

리눅스 진단 / 비밀번호 관리 - 유추 가능한 비밀번호 사용 여부 관련 상식

■CENT OS 6  ■ /etc/pam.d/system-auth

password    requisite     pam_cracklib.so try_first_pass retry=5 type= minlen=8 lcredit=-1 
ucredit=-1 dcredit=-1 ocredit=-1=> system auth 에서 설정까지 한꺼번에 등록 해버림 
retry=3 : password 변경 때 3번 틀리면 변경 실패
minlen=8 : 최소 8자리 이상의 문자
lcredit=-1 : 최소 1개 이상의 소문자 포함
ucredit=-1 : 최소 1개 이상의 대문자 포함
dcredit=-1 : 최소 1개 이상의 숫자 포함
ocredit=-1 : 최소 1개 이상의 특수문자 포함



■CENT OS 7■  pam_cracklib.so이 pam_pwquality.so로 변경된점이 차이점 
/etc/security/pwquality.conf

  minlen = 8              // 최소 암호 길이  
  dcredit = -1            // 패스워드에 숫자 필요
  ucredit = -1            // 패스워드에 영문 대문자 필요
  lcredit = -1             // 패스워드에 영문 소문자 필요 
  ocredit = -1            // 패스워드에 특수문자 필요=> -1이 절대값 판정으로 1 과 같다고 함 즉 1개 이상 필요 
  ※ 위 네가지(숫자, 대문자, 소문자, 특수문자)를 모두 포함하는 설정은 "minclass"


■ pwquality.conf를 읽도록 pam 모듈에 추가

vi /etc/pam.d/system-auth-ac
password    required      pam_pwquality.so enforce_for_root

vi /etc/pam.d/password-auth-ac
password    required      pam_pwquality.so enforce_for_root=> system auth 에서 pwquality만 등록 함 
*system-auth과 password-auth차이점=>  system-auth는 보통 로컬 로그인 , password-auth은 원격로그인 담당하는 경우 => x-window 같은 경우  system-auth의 정책을 받음 이와 같이 예외의 경우도 있다.