※ 本番環境では(一応)非推奨です ※
vCSA7 の root パスワードをいつものにしようとすると
root@vcsa02 [ ~ ]# passwd New password: BAD PASSWORD: is too simple passwd: Authentication token manipulation error passwd: password unchanged root@vcsa02 [ ~ ]#
ムキー(# ゚Д゚)
同じパスワードでも vCSA6.7 だと
しかも警告無しなのでそれなりにセキュア。
root@vcsa01 [ ~ ]# passwd New password: Retype new password: passwd: password updated successfully root@vcsa01 [ ~ ]#
vCSA6.7 まで使っていた root パスワードが vCSA7 だとはじかれるように。
コレ、結構憤慨しませんか? え、私だけ? そうですか…
(コレのせいで vCSA7 の root パスワードを毎回忘れる…)
回避する
パスワード強度の問題なので、パスワードを見直せよという話ですが、
ホームラボでそこまでのセキュリティも要らんだろ…(しかも 6.7 なら警告なし)だし、
何より手が覚えているパスワード、更に新しく覚えるのは…(;´Д`)
ということで緩くしてしまう。
どこで設定してるかなと探してみたら以下のファイル
/etc/pam.d/system-password
デフォルト
# Begin /etc/pam.d/system-password # use sha512 hash for encryption, use shadow, and try to use any previously # defined authentication token (chosen password) set by any prior module password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 enforce_for_root password required pam_pwhistory.so debug use_authtok enforce_for_root remember=5 password required pam_unix.so sha512 use_authtok shadow try_first_pass # End /etc/pam.d/system-password
pam_cracklib.so
の enforce_for_root
が諸悪の根源。
vCSA 6.7 の場合
# Begin /etc/pam.d/system-password # use sha512 hash for encryption, use shadow, and try to use any previously # defined authentication token (chosen password) set by any prior module password requisite pam_cracklib.so password required pam_unix.so sha512 shadow try_first_pass # End /etc/pam.d/system-password
元々は root は制約チェックに引っ掛かっても変更できていたが、root に対してもチェックして引っ掛かったものは変更をはじくようになっとる。
ということで、この root への適用を除外する。
変更後
# Begin /etc/pam.d/system-password # use sha512 hash for encryption, use shadow, and try to use any previously # defined authentication token (chosen password) set by any prior module #password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 enforce_for_root password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 password required pam_pwhistory.so debug use_authtok enforce_for_root remember=5 password required pam_unix.so sha512 use_authtok shadow try_first_pass # End /etc/pam.d/system-password
※ pam_pwhistory.so
(履歴チェック)は今回の直接の原因では無いが、お好みでついでに外すのはアリ。
これで警告はでるが、 パスワードは変えられるように。
root@vcsa02 [ ~ ]# passwd New password: BAD PASSWORD: is too simple Retype new password: Password has been already used. passwd: password updated successfully root@vcsa02 [ ~ ]#