vHoge

VMwareのアレコレ備忘録。CLIでがんばるネタ多め。

vCSA7 の root パスワードを自由に変えたい

※ 本番環境では(一応)非推奨です ※

vCSA7 の root パスワードをいつものにしようとすると

root@vcsa02 [ ~ ]# passwd
New password:
BAD PASSWORD: is too simple
passwd: Authentication token manipulation error
passwd: password unchanged
root@vcsa02 [ ~ ]#

ムキー(# ゚Д゚)

同じパスワードでも vCSA6.7 だと

しかも警告無しなのでそれなりにセキュア。 

root@vcsa01 [ ~ ]# passwd
New password:
Retype new password:
passwd: password updated successfully
root@vcsa01 [ ~ ]#

vCSA6.7 まで使っていた root パスワードが vCSA7 だとはじかれるように。
コレ、結構憤慨しませんか? え、私だけ? そうですか…
(コレのせいで vCSA7 の root パスワードを毎回忘れる…)

回避する

パスワード強度の問題なので、パスワードを見直せよという話ですが、
ホームラボでそこまでのセキュリティも要らんだろ…(しかも 6.7 なら警告なし)だし、
何より手が覚えているパスワード、更に新しく覚えるのは…(;´Д`)
ということで緩くしてしまう。

どこで設定してるかなと探してみたら以下のファイル

/etc/pam.d/system-password
デフォルト
# Begin /etc/pam.d/system-password

# use sha512 hash for encryption, use shadow, and try to use any previously
# defined authentication token (chosen password) set by any prior module
password  requisite   pam_cracklib.so   dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 enforce_for_root
password  required    pam_pwhistory.so  debug use_authtok enforce_for_root remember=5
password  required    pam_unix.so       sha512 use_authtok shadow try_first_pass
# End /etc/pam.d/system-password

pam_cracklib.soenforce_for_root が諸悪の根源。

vCSA 6.7 の場合

# Begin /etc/pam.d/system-password

# use sha512 hash for encryption, use shadow, and try to use any previously
# defined authentication token (chosen password) set by any prior module
password  requisite   pam_cracklib.so
password  required    pam_unix.so       sha512 shadow try_first_pass

# End /etc/pam.d/system-password


元々は root は制約チェックに引っ掛かっても変更できていたが、root に対してもチェックして引っ掛かったものは変更をはじくようになっとる。

ということで、この root への適用を除外する。

変更後
# Begin /etc/pam.d/system-password

# use sha512 hash for encryption, use shadow, and try to use any previously
# defined authentication token (chosen password) set by any prior module
#password  requisite   pam_cracklib.so   dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 enforce_for_root
password  requisite   pam_cracklib.so   dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4
password  required    pam_pwhistory.so  debug use_authtok enforce_for_root remember=5
password  required    pam_unix.so       sha512 use_authtok shadow try_first_pass
# End /etc/pam.d/system-password

pam_pwhistory.so (履歴チェック)は今回の直接の原因では無いが、お好みでついでに外すのはアリ。
これで警告はでるが、 パスワードは変えられるように。

root@vcsa02 [ ~ ]# passwd
New password:
BAD PASSWORD: is too simple
Retype new password:
Password has been already used.
passwd: password updated successfully
root@vcsa02 [ ~ ]#