Debian 10 Buster
Sponsored Link

パスワードポリシーを設定する2019/08/26

 
企業のコンプライアンスが求められる中で、パスワードの設定は重要です。 簡易なパスワードを設定しないようにルールで定めてはいても、システムでの強制力がなければ なかなか守られません。パスワードのルールはシステム側の設定で対応しましょう。
[1] パスワード品質チェックライブラリをインストールしておきます。
root@dlp:~#
apt -y install libpam-pwquality
[2] パスワードの有効期限を設定する。ユーザーは設定した日数以内にパスワードを変更しなければならない。
ただし、この設定はアカウント新規作成時のみ有効。既存のアカウントには影響しない。
当設定がされていない既存ユーザーに設定する場合は [chage -M 日数 ユーザー] で設定する。
root@dlp:~#
vi /etc/login.defs
# 160行目:パスワードの有効期限を 60日に設定

PASS_MAX_DAYS
60
[3] パスワードの最短利用日数を設定する。ユーザーはパスワードを変更してからこの期間内はパスワードを変更できない。
ただし、この設定はアカウント新規作成時のみ有効。既存のアカウントには影響しない。
当設定がされていない既存ユーザーに設定する場合は [chage -m 日数 ユーザー] で設定する。
root@dlp:~#
vi /etc/login.defs
# 161行目:パスワードの最短利用日数を 1日に設定

PASS_MIN_DAYS
1
[4] パスワードの有効期限が来る前に警告を発する期間の日数を設定する。
ただし、この設定はアカウント新規作成時のみ有効。既存のアカウントには影響しない。
当設定がされていない既存ユーザーに設定する場合は [chage -W 日数 ユーザー] で設定する。
root@dlp:~#
vi /etc/login.defs
# 162行目:パスワードの有効期限が来る前に警告を発する期間の日数を 7日に設定

PASS_WARN_AGE
7
[5] 過去に使用したパスワードの使用を制限する。
ユーザーは設定された世代以内に同じパスワードを再び設定することができない。
root@dlp:~#
vi /etc/pam.d/common-password
# 26行目:過去 5世代のパスワードの再利用を禁止する

password        [success=1 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512 remember=5
[6] パスワードの最低文字数を設定する。
ユーザーは設定された文字数未満のパスワードは設定できない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 11行目:コメント解除して最低文字数を設定

minlen =
8
[7] パスワードの最低文字種類数を設定する。(種類 ⇒ 大文字/小文字/数字/特殊文字)
ユーザーは設定された値未満の文字種しか含まれないパスワードは設定できない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 34行目:コメント解除してパスワードの最低文字種類数を設定

minclass =
3
[8] パスワードの最大連続文字数を設定する。
ユーザーは設定された値を超える連続同一文字が含まれるパスワードは設定できない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 38行目:コメント解除してパスワードの最大連続文字数を設定

maxrepeat =
2
[9] パスワードの最大連続文字種類数を設定する。
ユーザーは設定された値を超える連続同一文字種が含まれるパスワードは設定できない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 43行目:コメント解除してパスワードの最大連続同一文字種類数を設定

maxclassrepeat =
4
[10] パスワードに小文字が含まれなければならない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 25行目:コメント解除してパスワードに小文字の最低文字数を設定

lcredit =
-1
[11] パスワードに大文字が含まれなければならない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 20行目:コメント解除してパスワードに大文字の最低文字数を設定

ucredit =
-1
[12] パスワードに数字が含まれなければならない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 15行目:コメント解除してパスワードに数字の最低文字数を設定

dcredit =
-1
[13] パスワードに特殊文字が含まれなければならない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 30行目:コメント解除してパスワードに特殊文字の最低文字数を設定

ocredit =
-1
[14] 設定値よりも長い単調な文字列がパスワードに含まれてはならない。(単調な例 ⇒ '12345', 'fedcb')
root@dlp:~#
vi /etc/security/pwquality.conf
# 最終行に追記

maxsequence = 3
[15] 変更前のパスワードに含まれる文字が変更後のパスワードに N 文字以上含まれてはならない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 6行目:コメント解除して文字数を設定

difok =
5
[16] /etc/passwd 内の GECOS (コメント) フィールドに含まれる 3文字より長い文字列から成る単語が、パスワードに含まれてはならない。
root@dlp:~#
vi /etc/security/pwquality.conf
# 47行目:コメント解除して設定を有効化

gecoscheck =
1
[17] 指定した文字列がパスワードに含まれてはならない。(cracklib デフォルト辞書プラスアルファの設定)
root@dlp:~#
vi /etc/security/pwquality.conf
# 最終行に追記

badwords = denywords1 denywords2 denywords3
[18] パスワードの暗号化方式を設定する。
既存アカウントには当設定変更後の初回パスワード変更時に設定が適用される。
[chage -d 0 user] とすれば、次回ログイン時に強制的に user にパスワード変更させることができる。
root@dlp:~#
vi /etc/pam.d/common-password
# 26行目:sha512 に設定 (デフォルト その他 md5, bigcrypt 等)

password        [success=1 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512
関連コンテンツ