限制密码的安全度的几个问题 ？？请帮忙

aaronyou

1。关于/etc/login.defs中的 PASS_MIN_LEN 5 作用是什么，什么叫默认初始密码？？是说用户修改自己的密码长度 一定要超过5吗？ 我测试的结果不是
2。 如果我用设置密码长度 至少 为15 ，修改
pam.d中的system-auth中的
password requisite /lib/security/$ISA/pam_cracklib.so minlen=15 retry=3

对吗？（/etc/pam.d/passwd不修改）


测试的结果 也不对，问题出在哪里？？


请高手指教 。非常感谢

晨想

修改 /etc/login.defs 是没用的，如果你用 PAM 的话。

至于 minlen=15 为啥没用，
pam.d/ 里边的 passwd 文件是怎么写的。。我这里修改生效。


$ passwd
Changing password for william
(current) UNIX password:
New UNIX password:
BAD PASSWORD: it is WAY too short
New UNIX password:
BAD PASSWORD: it is WAY too short
New UNIX password:
BAD PASSWORD: it is WAY too short
passwd: Authentication token manipulation error

aaronyou

谢谢 关注。
但
你输入的密码 是不是 小于六位？？默认的密码长度 不能小于6。如果你上面测试的 时候 输入的密码长度小于6，那么即使修改了minlen=15 得到 too short的信息 也不奇怪。


/etc/pam.d/passwd
#%PAM-1.0
auth       required     pam_stack.so service=system-auth
account    required     pam_stack.so service=system-auth
password   required     pam_stack.so service=system-auth


/etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so

password    required      /lib/security/$ISA/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so



内核是  2.4.20-8smp  。

晨想

测试了一下，好像的确没检测到，我看看。

aaronyou

我找到了 一个解释。请看连接
http://mlsx.xplore.cn/read.php/240.htm
说的很详细。

只是
我还有一个问题。为什么 用root设置密码  就没有这个设置？？

还有就是 我怎么 才能看到

"可以看这个代码片段（cracklib/cracklib,2.7/cracklib/fascist.c）：其中的MINLEN)：
"

fascist.c这个文件.

晨想

http://www.deer-run.com/~hal/sysadmin/pam_cracklib.html

解释的比较清楚。至于楼上提及的文章，并不准确，有点误导读者。呵呵。

aaronyou

感谢斑竹的帮助.
这个问题 终于清楚了.
1.login.defs中修改最小密码长度 没有用处.
2.minlen修改是有作用的.但是修改的时候要注意 无论如何 密码长度 都不能小于6(root除外,重新编译内核除外.)
3. 修改minlen 须配合 lcredit ucredit ncredit ocredit来处理。
默认lcredit ucredit ncredit ocredit 为1。当密码包含大写 小写 数字 控制字符四种情况时候,长度 最小 为 minlen -4. 也就是说 当密码全部为小写 时, 最小长度 为minlen-1

aaronyou

感谢斑竹的帮助.
这个问题 终于清楚了.
1.login.defs中修改最小密码长度 没有用处.
2.minlen修改是有作用的.但是修改的时候要注意 无论如何 密码长度 都不能小于6(root除外,重新编译内核除外.)
3. 修改minlen 须配合 lcredit ucredit ncredit ocredit来处理。
默认lcredit ucredit ncredit ocredit 为1。当密码包含大写 小写 数字 控制字符四种情况时候,长度 最小 为 minlen -4. 也就是说 当密码全部为小写 时, 最小长度 为minlen-1