2.3.3.1设置密码质量要求

默认的pam cracklib PAM模块提供密码强度检查.它执行许多检查,例如确保密码与字典单词不相似,至少具有一定长度,不是先前的密码反转,并且不仅仅是从先前密码更改大小写. pam passwdqc PAM模块提供了执行更严格的密码强度要求的能力.它以同名的RPM提供.
手册页pam cracklib(8)和pam passwdqc(8)提供了有关每个功能和配置的信息.
如果需要密码强度高于pam cracklib保证的密码强度,请配置PAM以使用pam passwdqc.

要激活pam passwdqc,请在/etc/pam.d/system-auth中找到以下行：

password  requisite     pam_cracklib.so try_first_pass retry=3

然后用以下行替换它：

password  requisite    pam_passwdqc.so min=disabled,disabled,16,12,8

如有必要,请修改参数(min = disabled,8)以确保符合组织的安全策略.配置选项在手册页pam passwdqc(8)和/usr/share / doc / pam passwdqc-version中描述.这里提供的最小长度取代由第2.3.1.7节中描述的参数PASS MIN LEN指定的长度.
上例中给出的选项为pam passwdqc识别的每个密码“类”设置了最小长度.将特定最小值设置为禁用将阻止用户选择掉落的密码
单独进入该类别.

The NSA Guide to Securing RedHat

在/etc/pam.d中编辑文件时要小心！