password.defs implement

libpam-cracklib

→ 일단 첫 번째로 우리는 패스워드를 만들 때 과제에서 주어진 부분에 적합하게 만들기 위한 것을 추가해줄 것임.

1. 패스워드 정책을 살펴보자

• 파일 위치 : /etc/pam.d/common-password

 

 

1. 패스워드 정책 설정을 위해 다음 모듈을 설치한다

• 이 모듈은 사용자가 입력한 암호가 시스템의 사전과 여러 규칙들로 패스워드 강도를 검사한다. 패스워드를 입력받고, 검사에서 문제가 없으면 재입력 받는다. 문제가 없으면 패스워드가 후속 모듈로 전달되고, 새 인증 토큰으로 설치됨.

apt install libpam-cracklib

   2. 파일에 들어가서 수정해줘야함

우리는 cracklib.so 옆에 부분에 이걸 추가해줄 것임

• retry=3 : 암호 입력 가능 횟수
• minlen=10 : 암호 최소 길이
• difok=7 : 기존 암호와 달라야 하는 문자 수
• maxrepeat=3 : 최대 문자 연속 가능 횟수
• ucredit=-1 : 대문자 1개 이상 포함
• lcredit=-1 : 소문자 1개 이상 포함
• dcredit=-1 : 숫자 1개 이상 포함
• reject_username : username 정방향/역방향 일치시 거부
• enforce_for_root : root암호에 동일한 암호 정책 적용 여부

!!!!!!!!!여기서 중요한 것!!!!!!!!

• 과제에서 보면 이런 말이 있다.
  • The following rule does not apply to the root password: The password must have at least 7 characters that are not part of the former password.
  • 다음 규칙은 root 패스워드에 적용되지 않습니다 : 현재 패스워드는 최소 7글자 이상이 이전 패스워드와 달라야 한다.
  • Of course, your root password has to comply with this policy.
  • 당연히, root 패스워드에도 이 규정은 적용되어야 합니다.

그러니까 최소 7글자 이성이 이전 패스워드와 달라야 한다라는 규칙이 root는 빼고 해야됨.

근데 우리가 위에 저렇게 코드를 작성해서 root에도 작용이 되고 만들어주었다.

그러면 틀린 거 아님? 라고 생각할 수 있음

 

그런데

우리가 비번을 바꿀 때

passwd (사용자)

이렇게 하잖아.

passwd jaeyojun 

하면 현재 패스워드를 물어봐

하지만 root는 현재 패스워드랑 지금 새로 작성하는 패스워드를 비교하지 않아!!!!! 그래서 저것을 고려하지 않아도 돼

• 사진에서 내가 root로 이미 들어가있는 상황이라 바로 비번을 바꿀 수 있음

그냥 사용자 계정에서 root 비번 접근하려면 안 됨.

 

login.defs

과제에서 요구하는 패스워드 정책 설정을 해보자

root 권한으로 가야하기 때문에

su -

리눅스 계정의 설정과 관련된 기본값을 정의한 파일

/etc/login.defs 안에 있음.

vi를 틀면 계정 설정에 관한 이야기가 나옴

우리가 수행해야할 과제

1. 패스워드는 매 30일마다 만료되어야 한다.
   1. PASS_MAX_DAYS 30
2. 패스워드 변경 후에 수정이 가능한 최소 경과일 수는 2일이어야 한다.
   1. PASS_MIN_DATS 2
3. 유저는 패스워드 만료 7일 전에 경고 메시지를 받아야 한다.
   1. PASS_WARN_AGE 7

요렇게 바꿔주기

 

passwd -e [username]

→ 위에서 우리가 설정한 비밀번호 정책이 jaeyojun, root는 비밀번호 정책을 만들기 전에 만들어졌기 때문에 적용이 안 됨 그래서 해주어야함.

밑에 명령을 실행시켜서 머신을 다시 작동시키자 그러면 비밀번호 바꾸라고 함.!!

sudo reboot

사용자 완료되면 root 로그인

su

root도 비번 바꾸라고 할 거임

 

비밀번호 정책에서 우리 두번 째로 했던

1. 패스워드는 매 30일마다 만료되어야 한다.
   1. PASS_MAX_DAYS 30
2. 패스워드 변경 후에 수정이 가능한 최소 경과일 수는 2일이어야 한다.
   1. PASS_MIN_DATS 2
3. 유저는 패스워드 만료 7일 전에 경고 메시지를 받아야 한다.
   1. PASS_WARN_AGE 7

잘 설정 되었는지 보쟈

• 아직 이 두 개는 설정이 안 됨 왜냐? 우리가 비밀번호 정책을 바꾸기 전에 만들어진 친구들이라서

chage -l (username)

넣어주자

1. Maximun number of days

chage -M 30 (username)

   2. Minimum number of days

chage -m 2 (username)

root도 바꾸주자