网站开发需要干什么,百度上做推广怎么收费,数据分析师工资,嵌入式培训班一般多少钱密码长度#xff0c;作为等级保护主机测评项里中密码复杂度要求之一#xff0c;是必须要查的。在《等级测评师初级教程》里#xff0c;对于密码长度的设置指向了/etc/login.defs里的PASS_MIN_LEN字段。# PASS_MIN_LEN Minimum acceptable password length.PASS_MIN_LEN … 密码长度作为等级保护主机测评项里中密码复杂度要求之一是必须要查的。在《等级测评师初级教程》里对于密码长度的设置指向了/etc/login.defs里的PASS_MIN_LEN字段。# PASS_MIN_LEN Minimum acceptable password length.PASS_MIN_LEN 5简单明了对新密码的长度最小值做出了限制。不过实际上这个参数是无效的至少在centos6以及以上版本里这个参数对新密码长度没有一点点的制约。比如大家可以试一试给PASS_MIN_LEN设一个值再用非root账户去改改密码看看对新密码长度有没有影响。甚至还可以直接删除login.defs文件试一试。反正我的测试结果是这个参数没有起到作用。结果是出来了至于原因我没找到网上也没有相关的资料。或许该参数在centos以前的某个老版本里是有作用的但随着版本更新特别估计是开始使用PAM认证机制后该参数就无效化了仅仅作为一个迷惑人的参数放置在login.defs文件里。实际上真正起作用的是一个pam模块具体点也就是pam_cracklib.so模块。PAM认证机制个人感觉就是一个模块化、组件化的机制一些人把一些认证、验证以及其他功能实现好了然后上层的应用去调用配置文件(接口)而配置文件呢再调用底层的实现大概就是下图这个样子所谓的应用程序就包括在linux里使用的命令好回到密码长度这个话题。修改密码时对于密码的一系列验证由pam_cracklib.so模块实现那么谁去调用那当然就是passwd了(修改密码的命令)。passwd怎么调用的是通过配置文件(接口)做到的。在centos6以及以上版本中这个配置文件就是/etc/pam.d中与passwd同名的文件也就是/etc/pam.d/passwd。顺便一提/etc/pam.d中基本都是这类同名文件[rootcentos01 ~]# ls /etc/pam.datd fingerprint-auth-ac password-auth smtp system-config-authenticationauthconfig gdm password-auth-ac smtp.postfix system-config-dateauthconfig-gtk gdm-autologin polkit-1 smtp.sendmail system-config-kdumpauthconfig-tui gdm-fingerprint poweroff sshd system-config-keyboardchfn gdm-password ppp sshd~ system-config-networkchsh gnome-screensaver reboot ssh-keycat system-config-network-cmdconfig-util halt remote su system-config-userscrond ksu run_init sudo vmtoolsdcups login runuser sudo-i xservercvs login~ runuser-l su-ldovecot newrole setup system-autheject other smartcard-auth system-auth~fingerprint-auth passwd smartcard-auth-ac system-auth-ac/etc/pam.d/passwd的内容如下[rootcentos01 ~]# cat /etc/pam.d/passwd#%PAM-1.0auth include system-authaccount include system-authpassword substack system-auth-password optional pam_gnome_keyring.so对于配置文件具有一定的规范第一列代表模块类型类型分为4种auth: 用来对用户的身份进行识别.如:提示用户输入密码,或判断用户是否为rootaccount:对帐号的各项属性进行检查.如:是否允许登录,是否达到最大用户数,或是root用户是否允许在这个终端登录等session:这个模块用来定义用户登录前的,及用户退出后所要进行的操作.如:登录连接信息,用户数据的打开与关闭,挂载文件系统等.passwd:使用用户信息来更新.如:修改用户密码.这里由于是修改密码所以会使用passwd类型的模块。配置文件是可以互相调用的passwd文件里的第三行password substack system-auth就调用了system-auth配置文件。这里的substack和include都是引用的意思只是稍微有点区别(具体百度就知道了)。然后这个system-auth文件也在/etc/pam.d的文件夹中内容为[rootcentos01 ~]# cat /etc/pam.d/system-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth sufficient pam_fprintd.soauth sufficient pam_unix.so nullok try_first_passauth requisite pam_succeed_if.so uid 500 quietauth required pam_deny.soaccount required pam_unix.soaccount sufficient pam_localuser.soaccount sufficient pam_succeed_if.so uid 500 quietaccount required pam_permit.sopassword requisite pam_cracklib.so try_first_pass retry3 typepassword sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.sosession [success1 defaultignore] pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.so其中具体被引用(使用)到的是password requisite pam_cracklib.so try_first_pass retry3 typepassword sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword required pam_deny.sopam_cracklib.so模块有不少参数主要常用的有这几个(摘抄于网上)minlenN最小密码长度。dcreditN当N0时N代表新密码最多可以有多少个阿拉伯数字。当N0时N代表新密码最少要有多少个阿拉伯数字。ucreditN和dcredit差不多但是这里说的是大写字母。lcreditN和dcredit差不多但是这里说的是小写字母。ocreditN和dcredit差不多但是这里说的是特殊字符。似乎到这里就差不多了因为都找到了实际控制新密码最小长度的地方了但其实还没完呢。因为网上关于pam_cracklib模块中这几个参数的解释可以说基本上都是不准确的。那当然我都这么说了我这里自然会给一个准确的解释(我觉得这应该是全网唯一清楚且准确的中文解释了因为我自己在查找资料的时候完全没有搜到有些资料比较接近但实际还是没说清楚)。准确的解释来man命令输出的说明文档https://linux.die.net/man/8/pam_cracklib其实写得还是比较清楚的但是还是有点抽象我稍微解释下。minlen确实有最小长度的意思但是当dcredit、ucredit、lcredit、ocredit的值(N)大于等于零的时候情况就不同了。N大于零的时候完全不是网上说的“最多可以有多少个数字或大小写字母或特殊字符”的意思而是计算长度的时候会有变化。比如ocredit(特殊字符)的值是2的时候就代表有最多有2个特殊字符的长度额外能加1。当你设置的密码是#它的长度被算作是5而不是3。因为有2个特殊字符的长度被看做是2(额外加了个1)而第3个特殊字符没有此类变化长度仍被视作是1所以总共长度时(22)15。所以如果ocredit的值是4那么#%的长度就是(44)19。其余的大小写字母和数字的值大于零时也是这个意思。而他们的默认值都是1也就是会有1个字符的长度额外加1。所以如果你什么都不设置就设置minlen8的话理论上你的新密码只要4类字符都包含那么4个字符就够了比如1Aa当然如果你真这么设置实际上是不行的因为除了minlen对长度有限制cracklib内部有代码对其有限制而且优先级高于minlen。解释如下Note that there is a pair of length limits in Cracklib itself, a “way too short” limit of 4 which is hard coded in and a defined limit (6) that will be checked without reference to minlen。大概的代码如下#define MINLEN 6 char * FascistLook(pwp, instring) PWDICT *pwp; char *instring; { int ii; char *ptr; char *jptr; char junk[STRINGSIZE]; char *password; char rpassword[STRINGSIZE]; int32 notfound; notfound PW_WORDS(pwp); /* already truncated if from FascistCheck() */ /* but pretend it wasnt ... */ strncpy(rpassword, instring, TRUNCSTRINGSIZE); rpassword[TRUNCSTRINGSIZE - 1] ; password rpassword; if (strlen(password) 4) { return (its WAY too short); } if (strlen(password) MINLEN) { return (it is too short); } jptr junk; *jptr ; for (ii 0; ii STRINGSIZE password[ii]; ii) { if (!strchr(junk, password[ii])) { *(jptr) password[ii]; *jptr ; } } if (strlen(junk) MIND所以说如果长度小于4会输出it’s WAY too short如果大于4小于6会输出it is too short。当然超过了6之后就是由minlen控制了。嗯……扯了这么久大概把修改密码时密码长度的事情说完了。正如前言所说和等保关系不大。不过如果在检查的时候看到PASS_MIN_LEN 8 的时候是给这1分还是不给分呢我想大家在心里都是有答案的嘿嘿。另外这个pam认证机制还是经常会碰到的比如在登录失败处理功能中是用pam_tally或者pam_tally2模块去实现。所以聪明的你一定知道具体应该去哪个配置文件里查看是否进行设置了。比如远程ssh连接的登录失败处理功能自然就是去pam.d文件夹中的sshd文件查看sshd又引用passwd-auth所这两个文件都可以实现失败处理(所以初级教程让你去system-auth里查看配置其实是管不了ssh远程连接登录的实际上管的是本地tty终端登录)。而本地tty终端登录也就是使用login命令是去pam.d文件夹中的login文件查看login则引用system-auth文件同理这两个文件都可以实现。至于su命令和图形化界面窗口登录(比如gdm-password)也是按照这种方法去查看有效配置文件在哪儿。就先写到这了以后有空再写一写其他的。*本文原创作者起于凡而非于凡本文属FreeBuf原创奖励计划未经许可禁止转载精彩推荐
