パスワードポリシーとpamの設定(Linux)

【設定内容と設定ファイルの一覧表】

No 設定したい項目 内容 定ファイ
パスワードの有効期限 ログイン時に有効期限が切れていたら強制的にパスワードの変更が表示されるようにする /etc/login.defs
パスワード変更禁止期間 1度パスワードを変えたら再度パスワードを変更できるようになるまでの期間を設定す /etc/login.defs
パスワードの最小文字数 パスワードの最小の文字数を設定する /etc/pam.d/system-auth
(/etc/login.defs※1)
複雑なパスワー 大文字、小文字、数字、記号を何文字以上含めるなどのルールを設定する /etc/pam.d/system-auth
ログイン連続失敗でアカウントロック スワードを何回間違ったらアカウントをロックするか設定する /etc/pam.d/password-auth
パスワード再利用禁止 新しいパスワードを設定する際に過去何世代のパスワードの使用を禁止するか設定する /etc/pam.d/system-auth
rootにスイッチできるユーザの限定 rootにスイッチできるユーザを連携する /etc/pam.d/su

※1 どちらの設定ファイルでも設定できるが両方のファイルに設定をしている場合は/etc/pam.d/system-authのほうが優先される
 
 
【設定方法の詳細】
①パスワード有効期限を90日に設定する
vi /etc/login.defs
PASS_MAX_DAYS 90
 
 
②パスワード変更禁止期間を1日に設定する
vi /etc/login.defs
PASS_MIN_DAYS 1
 
 
③パスワードの最小文字数
④複雑なパスワー
vi /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 enforce_for_root

よく設定する項目

項目 内容
minlen パスワードの最小文字数
dcredit パスワードに数字が最低何文字含まれなくてはいけないかを設定(※2)
ucredit パスワードに大文字アルファベットが最低何文字含まれなくてはいけないかを設定(※2)
lcredit パスワードに小文字アルファベットが最低何文字含まれなくてはいけないかを設定(※2)
ocredit パスワードに記号が最低何文字含まれなくてはいけないかを設定(※2)
enforce_for_root rootでパスワード変更する場合も上記の条件を満たさないと変更できないようにする

(※2) minlenと併用する場合は数字の前に-をつける
 
 
⑤ログイン連続失敗でアカウントロック
vi /etc/pam.d/password-auth
auth required pam_tally2.so deny=5 unlock_time=3600
※1行全部追加、authの上から2行目くらい?

よく設定する項目

項目 内容
deny 認証失敗回数が設定値を越えたらアカウントをロックする
unlock_time アカウントがロックされてから設定値の秒数後にアカウントを自動的にアンロックする

 
 
⑥パスワード再利用禁止
vi /etc/pam.d/system-auth
password sufficient pam_unix.so sha512 shadow nullok remember=3 try_first_pass use_authtok
 
 
⑦rootにスイッチできるユーザをwheelグループのみに限定
vi /etc/pam.d/su
auth required pam_wheel.so root_only

項目 内容
root_only これを書かないと、wheelグループ以外のユーザはrootへのスイッチだけでなくその他のユーザへのスイッチもできなくなる。これを書くとrootへのスイッチのみwheelグループに制限される。
use_uid これを書かないと、ログイン時のユーザで認証がチェックされる。これを書くとsuを実行した際のユーザで認証がチェックされる。(※3)

(※3) つまりuse_uidが書かれていない状態だと、wheelグループに属さないユーザでログインして、wheelグループに属するユーザにスイッチしたあとにrootにスイッチしようとしてもNGとなる。

スポンサーリンク
勉強wikiの下部広告
  • このエントリーをはてなブックマークに追加
スポンサーリンク
勉強wikiの下部広告

コメントをどうぞ

メールアドレスが公開されることはありません。

CAPTCHA