pam_cracklib.so中有很多參數可以選擇,具體配置如下:
- debug此選為記錄Syslog日志。
- type=safe輸入新密碼的時候給予的提示。
- retry=N改變輸入密碼的次數,默認值是1。就是說,如果用戶輸入的密碼強度不夠就退出。可以使用這個選項設置輸入的次數,以免一切都從頭再來。
- difok=N默認值為10。這個參數設置允許的新、舊密碼相同字符的個數。
- difignore=N多少個字符的密碼應收到difok將被忽略。默認為23
- minlen=N新的最低可接受的大小密碼。除了在新密碼的字符數。此參數的默認值是9,它是一個老式的UNIX密碼的字符相同類型的所有好,但可能過低,利用一個MD5的系統增加安全性。
- dcredit=N限制新密碼中至少有多少個數字。
- ucredit=N限制新密碼中至少有多少個大寫字符。
- lcredit=N限制新密碼中至少有多少個小寫字符。
- ocredit=N限制新密碼中至少有多少個其它的字符。此參數用於強制模塊不提示用戶的新密碼,但以前使用的堆疊模塊提供的密碼之一。
- dictpath=/path/to/dict //注:密碼字典,這個是驗證用戶的密碼是否是字典一部分的關鍵
cracklib密碼強度檢測過程:
首先檢查密碼是否是字典的一部分,如果不是,則進行下面的檢查–>
密碼強度檢測過程–>
新密碼是否舊密碼的回文–>
新密碼是否只是就密碼改變了大小寫–>
新密碼是否和舊密碼很相似–>
新密碼是否太短–>
新密碼的字符是否是舊密碼字符的一個循環 例如舊密碼:123 新密碼:231 –>
這個密碼以前是否使用過。
password required pam_cracklib.so difok=3 minlen=15 dcredit=2 ocredit=2
允許有3個新、舊密碼相同字符的
最小長度15位 和至少包含2數字、至少包含2個特殊字符數
password required pam_cracklib.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 minlen=8 enforce_for_root
最小長度為8和至少1位數字,1位大寫字母,和另外1個字符的密碼,此設置對root生效