จะป้องกันผู้ใช้จากการเปลี่ยนรหัสผ่านเป็นหนึ่งในรหัสผ่าน X อันสุดท้ายได้อย่างไร


9

ฉันมี Ubuntu GNOME 15.10 พร้อมระบบ GNOME 3.18 ซึ่งฉันต้องการตั้งค่าเพื่อให้ผู้ใช้ที่ใช้มันไม่สามารถตั้งรหัสผ่านใหม่เป็นหนึ่งในรหัสผ่าน X ก่อนหน้านี้จะประสบความสำเร็จได้อย่างไร

เมื่อฉันเปลี่ยนรหัสผ่านของฉันหากมันคล้ายกับระบบล่าสุดของฉันไม่อนุญาตให้ฉันเปลี่ยนเป็นรหัสผ่านนั้นจะเป็นการดีถ้าคำตอบสามารถแสดงวิธีการขยายได้เช่นกันเพื่อที่รหัสผ่านใหม่จะไม่สามารถ คล้ายกับรหัสผ่าน X ที่บันทึกก่อนหน้านี้มากเกินไป

หมายเหตุ:ประวัติของรหัสผ่าน X สุดท้ายไม่ควรจัดเก็บในลักษณะที่ไม่ปลอดภัยซึ่งในความเป็นจริงพวกเขาอาจจะถูกจัดเก็บในลักษณะเดียวกันหรือคล้ายกับวิธีการจัดเก็บรหัสผ่านปัจจุบัน (เป็นแฮเค็ม)

ฉันเคยXแสดงถึงจำนวนรหัสผ่าน (ซึ่งอาจเป็นค่าใด ๆ ) เพราะฉันต้องการที่จะสามารถเปลี่ยนจำนวนรหัสผ่านที่เก็บไว้ซึ่งไม่สามารถใช้งานได้อย่างง่ายดายและเพื่อให้ผู้อื่นสามารถตอบคำถามและใช้งานได้ง่ายเช่นเดียวกับพวกเขา Xต้องการมากกว่าที่มีคำตอบซึ่งหมุนรอบค่าที่ตั้งไว้มาก

อัพเดทข้อมูล:

ตามที่ร้องขอนี่คือเนื้อหาของไฟล์ของฉัน (ไม่รวมความคิดเห็นที่ด้านบน) /etc/pam.d/common-password:

# here are the per-package modules (the "Primary" block)
password        [success=1 default=ignore]      pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
password        optional        pam_gnome_keyring.so
# end of pam-auth-update config

โปรดทราบว่า a) บังคับให้ผู้ใช้เปลี่ยนรหัสผ่านและ b) การป้องกันรหัสผ่านเก่า X ที่ X คือ> 2 สามารถลดความปลอดภัย ... "อืมดีกว่าเพียงแค่เพิ่ม 1 กับรหัสผ่านเก่าของฉัน ... และเขียนลงในโน้ต postit เพื่อเตือน ฉัน ... "
ทิม

@Tim: มีกลไกที่สร้างไว้ในระบบของฉันแล้วซึ่งป้องกันไม่ให้รหัสผ่านคล้ายกับรหัสผ่านล่าสุด

ซึ่งมักจะไม่ดีเท่า - ที่ช่วยให้ผู้ใช้สามารถจดบันทึกได้ ฉันยังไม่มั่นใจในการเปลี่ยนแปลงว่ามันมีประโยชน์ใด ๆ - และมันก็มีแง่ลบอย่างแน่นอน
ทิม

@Tim: นอกจากนี้คุณเพิ่งเตือนฉันถึงสิ่งที่ฉันลืมที่จะรวมฉันได้ปรับปรุงคำถามของฉันด้วย (แม้ว่าโปรดทราบว่าแม้ว่าจะเป็นสิ่งที่ดีถ้าคำตอบไม่สามารถแสดงวิธีการทำสิ่งเพิ่มเติมนี้แล้วฉันจะดีกับ ได้รับสิ่งที่ฉันขอ)

@Tim: ฉันจะมีนโยบายอื่น ๆ ในสถานที่ป้องกันพวกเขาจากการทำเช่นนั้นและจะจับตาดูพวกเขาอย่างใกล้ชิด

คำตอบ:


17

คุณสามารถกำหนดค่า PAM ให้ทำเพื่อคุณ เพียงเปิด/etc/pam.d/common-passwordและต่อท้ายบรรทัดuse_authtokแรกpassword(บรรทัดที่เรียกว่าโมดูล pam_unix) เพื่อให้มีลักษณะดังนี้:

password    [success=1 default=ignore]  pam_unix.so obscure sha512 use_authtok

ตอนนี้เพิ่มบรรทัดนี้เหนือบรรทัดที่แก้ไขก่อนหน้านี้:

password    required    pam_pwhistory.so  remember=X

โดยที่Xคือจำนวนรหัสผ่านก่อนหน้าซึ่งคุณต้องการตรวจสอบรหัสผ่านซ้ำ

ที่นี่Xรหัสผ่านก่อนหน้านี้จะถูกเก็บไว้ในรูปแบบแฮชที่สถานที่/etc/security/opasswd

ดังนั้นคุณต้องสร้างไฟล์หากว่าไฟล์นั้นไม่มีอยู่และกำหนดสิทธิ์ 600 ( -rw-------):

sudo touch /etc/security/opasswd
sudo chmod 600 /etc/security/opasswd

แม้ว่าการทำตามที่คุณพูดจะหมายความว่าถ้าฉันพยายามตั้งรหัสผ่านที่ฉันเคยใช้เป็นหนึ่งในรหัสผ่าน X สุดท้ายของฉันในศูนย์ควบคุมคำพังเพยมันไม่ทำอะไรเลยและบังคับให้ฉันบังคับให้ออกจากแอปพลิเคชัน ดูเหมือนว่าจะทำงานได้ดีมาก ... 14.04 ใช้ทำอะไรได้บ้าง เพราะฉันคาดหวังว่ามันจะบ่งบอกกับฉันว่ารหัสผ่านไม่เหมาะสมแทนที่จะเพียงแขวนเมื่อฉันขอให้เปลี่ยน

@ParanoidPanda น่าสนใจมาก คุณจะได้อะไรเมื่อพยายามเปลี่ยนรหัสผ่านโดยใช้passwd? นี่คือสิ่งที่เกิดขึ้นกับฉัน เมื่อฉันเปลี่ยนโดยใช้passwdฉันได้รับ "รหัสผ่านถูกใช้ไปแล้วเลือกรหัสผ่านอื่น" และเมื่อฉันพยายามเปลี่ยนรหัสผ่านจาก GUI มันไม่อนุญาตให้ฉันเปลี่ยนรหัสผ่าน (ปุ่มเปลี่ยนเป็นสีเทา) และเขียนว่า "รหัสผ่านอ่อนเกินไป"
daltonfury42

ควรสังเกตว่าฉันรายงานจาก Ubuntu 14.04 ที่ใช้ Unity ไม่ใช่ Gnome
daltonfury42

ฉันได้ทำการทดสอบอีกครั้งคราวนี้ในการติดตั้ง Ubuntu GNOME 16.04 Beta 2 กับ GNOME 3.20 และฉันพบว่ามันใช้งานได้เหมือนกับที่คุณอธิบายด้วยpasswdคำสั่ง แต่ไม่ใช่ในgnome-control-centerนั้นมันแค่แฮงค์หลังจากให้ฉัน Changeข่าว แม้ว่านี่อาจเป็นข้อผิดพลาดฉันต้องยื่นรายงานต่อ ...

2
@ParanoidPanda นี่อาจเป็นเพราะการเขียนโปรแกรมหมัดใน gnome-control-center ไม่ใช่เพราะมันใช้งานไม่ได้ การกำหนดค่า PAM เป็นวิธีที่ดีที่สุดในการทำเช่นนี้
เซ
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.