Як завадити користувачам змінити свій пароль на один із останніх X-паролів?

У мене є система Ubuntu GNOME 15.10 з системою GNOME 3.18, яку я хотів би налаштувати так, щоб користувачі, які використовують її, не могли встановити новий пароль як один з попередніх X-паролів, як це можна досягти?

Коли я змінюю свій пароль, якщо він занадто схожий на мій останній, моя система не дозволяє мені змінювати його на той пароль, було б добре, якби відповідь могла також показати, як продовжити це, щоб новий пароль також не міг бути занадто схожий на попередні X записані паролі.

Примітка . Історія останніх X-паролів не повинна зберігатися в незахищеному незашифрованому вигляді, адже вони, ймовірно, повинні зберігатися тим самим чи подібним чином, як і поточний пароль (як солоний хеш).

Я використовував Xдля представлення кількості паролів (це може бути будь-яке значення), тому що я хочу легко змінити кількість збережених паролів, які неможливо використати, а також так, щоб інші могли легко прийняти відповідь і використовувати її як побажання, а не відповідь, яка обертається навколо дуже заданого значення X.

Інформаційне оновлення:

Як вимагається тут, є вміст мого (за винятком коментарів у верхній частині) /etc/pam.d/common-passwordфайлу:

# here are the per-package modules (the "Primary" block)
password        [success=1 default=ignore]      pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
password        optional        pam_gnome_keyring.so
# end of pam-auth-update config

gnome password security

— гунберт
джерело

Зауважте, що а) змушуючи користувачів змінювати свій пароль і б) запобігання X-старих паролів, де X є 2, може знизити безпеку ... "Хм, краще просто додати 1 до мого старого пароля ... І напишіть це на примітку, щоб нагадати я ... »

— Тім

@Tim: У моїй системі вже вбудовані механізми, які запобігають занадто схожим паролем на останній.

Це часто так само погано - це гарантує, що користувач запише його. Я також непереконливо змінюю, що це має будь-які переваги - і це, безумовно, має негативи.

— Тім

@Tim: Крім того, ви просто нагадали мені щось, що я забув включити, я оновив своє запитання з цим (хоча зауважте, що хоч це було б добре, якщо відповідь не може показати, як зробити цю додаткову річ, тоді я був би в порядку з отримання того, про що я спочатку просив).

@Tim: У мене будуть інші політики, які заважають їм робити це, і я буду пильно стежити за ними.

Ви можете налаштувати PAM для цього. Просто відкрийте /etc/pam.d/common-passwordі додайте use_authtokдо першого passwordрядка (той, що викликає модуль pam_unix), щоб він виглядав приблизно так:

password    [success=1 default=ignore]  pam_unix.so obscure sha512 use_authtok

Тепер додайте цей рядок вище раніше зміненого рядка:

password    required    pam_pwhistory.so  remember=X

де Xкількість попередніх паролів, проти яких потрібно перевірити наявність повторного пароля.

Тут попередні Xпаролі будуть збережені у хешованому вигляді у своєму місці/etc/security/opasswd

Тому вам потрібно створити файл тоді і лише тоді, коли його не існує, і призначити йому дозвіл 600 ( -rw-------):

sudo touch /etc/security/opasswd
sudo chmod 600 /etc/security/opasswd

— далтонфурі42
джерело

Хоча, як ви говорите, це, мабуть, означає, що якщо я спробую встановити пароль, який я використовував раніше, як один із останніх X-паролів у центрі gnome-control, він просто нічого не робить і змушує мене змусити вийти з програми, але це не Схоже, це працює дуже добре ... Що саме це робить 14.04? Тому що я б очікував, що він вкаже мені, якщо пароль не підходить, а не просто висить, коли я прошу його змінити.

@ParanoidPanda Дуже цікаво. Що ви отримуєте, намагаючись змінити пароль за допомогою passwd? Це те, що відбувається зі мною. Коли я змінююсь, використовую, passwdя отримую "Пароль уже використаний. Виберіть інший". а коли я намагаюся змінити пароль із графічного інтерфейсу, це не дозволяє мені змінювати пароль (кнопка "Змінити" - сірою) та пишеться "Занадто слабкий пароль".

— daltonfury42

Слід зазначити, що я звітую з Ubuntu 14.04 під управлінням Unity, а не Gnome.

— daltonfury42

Я перевірив це ще раз, цього разу в установці Ubuntu GNOME 16.04 Beta 2 з GNOME 3.20, і я виявив, що він працює так само, як ви описали з passwdкомандою, але не в gnome-control-center, там він просто зависає після того, як це дозволяє мені натиснути Change. Хоча, можливо, це помилка, мені потрібно подати звіт про ...

@ParanoidPanda Це було б через невдале програмування в gnome-control-центрі, а не тому, що це не працює. Конфігурація PAM, безумовно, найкращий спосіб зробити це.

— Сет