pam_passwdqc est un module PAM, permet aussi la vérification de la robustesse d’un mot de passe sur Linux au même titre que pam_cracklib. A la différence de ce dernier, qui peut être utilisé sur d’autre composant, c’est un module simpliste qui s’opère essentiellement et uniquement sur le composant “pasword” dans PAM. Il fournie ce qu’on appel “passphrases” et aussi capable de vous générer un mot de passe. Il est aussi configurable dans /etc/pam.d/system-auth pour RHEL ou dans /etc/pam.d/passwd pour les autres distributions. Pour en benéficier, il faut que le paquet pam_passwdqc soit installé.
Exemple du RHEL :
[pastacode lang=”bash” message=”” highlight=”” provider=”manual”]
[memeotsix@godzilla pam.d]# rpm -qa |grep pam
pam_passwdqc-1.0.5-6.el6.x86_64[/pastacode]
Ci-dessous un extrait de /etc/pam.d/system-auth
[pastacode lang=”bash” message=”” highlight=”” provider=”manual”]
#password requisite pam_cracklib.so credit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=12 try_first_pass retry=3
password required pam_passwdqc.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
[/pastacode]
Dans cette exemple, pour l’activer il suffit d ‘insérer la ligne ci dessous à la place de pam_cracklib.so :
[pastacode lang=”bash” message=”” highlight=”” provider=”manual”]
password required pam_passwdqc.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3
[/pastacode]
Comme pour pam_cracklib, pam_passwdqc possède aussi plusieurs options pour définir la politique de mot de passe :
- min=N0,N1,N2,N3,N4
- N0 : représente le nombre de caractères requis pour un mot de passe qui utilise uniquement des caractères provenant d’une seule classe de caractères. Par exemple, le mot de passe ne contient que des lettres minuscules.
- N1 : représente le nombre de caractères requis pour un mot de passe qui utilise des caractères provenant de deux classes de caractères.
- N2 : longueur de la passphrase. Il doit avoir une longueur suffisante.
- N3 et N4 : représente le nombre de caractères requis pour un mot de passe qui utilise des caractères provenant de trois et quatre classes de caractères.
- Si N = -1, pam_passwdqc.so ignore ces limitations et si N= disabled, il disqualifie le mot de passe contenant cette caractéristique.
- max=N : la longueur maximale u mot de passe.
- retry=N : nombre de fois où le module demandera à l’utilisateur d’entrer le nouveau mot de passe quand ce dernier n’est pas conforme à la politique mis en place.
Plusieurs autres options sont disponible ici.