パスワードポリシー

OSのパスワードポリシーを設定、強化します。

パスワードの最小文字数変更

パスワードの最小文字数を8文字に変更します。 

# vi /etc/login.defs
PASS_MIN_LEN    8

認証フローの厳格化

パスワード認証に失敗10回した場合にユーザーを120秒ロックします。
またパスワード設定時に「英語大文字」「英語小文字」「数字」「記号」などを利用するように制限します。

OS7系よりfprintdモジュールがなくなっています。
またパスワード処理のpam_cracklib.sopam_pwquality.soになっている。
今までpam_cracklib.soで指定してきたパスワード制御はコンフィグファイルで管理されています。
オプションは今までどおり、有効、無効、桁数を指定します。 

# vim /etc/security/pwquality.conf
minlen = 8
dcredit = -1
ucredit = -1
lcredit = -1

設定後はpwquality.confを読み込むようにpamモジュールを追記する。
また今までどおり、古いパスワードの記憶設定も行います。 

# vim /etc/pam.d/system-auth-ac
password    required      pam_pwquality.so
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=1
password    required      pam_deny.so

# vim /etc/pam.d/password-auth-ac
password    required      pam_pwquality.so
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=1
password    required      pam_deny.so

pam_tally2.soモジュールもpam_faillock.soに変わっていますが、同様に利用できます。 

# vim /etc/pam.d/system-auth-ac
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=10
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so preauth silent authfail audit deny=10
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_faillock.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=10
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so preauth silent authfail audit deny=10
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_faillock.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

authconfig ユーティリティーを使って認証設定を修正すると、
system-auth および password-auth の各ファイルはauthconfig ユーティリティーからの設定で上書きされます。
これを避けるには、設定ファイルの代わりにシンボリックリンクを作成します。

ロック制御

ユーザーがロックされているか、ロックの解除を行います。

ロックの確認 

# faillock

ロックの解除 

# faillock --user ${username} --reset

指紋認証

fprintdをインストールしfprintdサービスを停止している場合、
下記のようなエラーメッセージがユーザログインのたびに出力される。 

XXX 01 15:05:45 hostneme fprintd: ** (fprintd:26535): WARNING **: fprint init failed with error -99
XXX 01 15:05:45 hostneme systemd: fprintd.service: main process exited, code=exited, status=157/n/a
XXX 01 15:05:45 hostneme systemd: Unit fprintd.service entered failed state.
XXX 01 15:05:45 hostneme systemd: fprintd.service failed.

pamでfprintdモジュールが呼び出されているが、fprintdサービスが停止しているため出力される。
クラウド環境など指紋認証デバイスを利用しないのであればアンインストールし、
pamから認証モジュールの呼び出しをコメントアウトしておく。 

# yum remove fprintd

# vim /etc/pam.d/system-auth-ac
#auth        sufficient    pam_fprintd.so

results matching ""

    No results matching ""