Passwort-Komplexität
Seit ESX 4.0 gibt es Komplexitätsregeln für Passwörter. Möchte man nun einfache und / oder kurze Passwörter z.B. für den Root-User verwenden, so muss man vorher diese Regeln ändern oder gar abschalten. Die minimale Passwort-Komplexität wird in der Datei /etc/pam.d/common-password geregelt. Diese kann direkt in der Serviceconsole mittels vi-Editor geändert werden. Im Normalzustand sieht diese Datei so aus:
#%PAM-1.0 password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6 password sufficient /lib/security/$ISA/pam_unix.so use_authtok md5 shadow password required /lib/security/$ISA/pam_deny.so
In der zweiten Zeile werden nun die Komplexitätsregeln vorgegeben. Zunächst wird mit retry=3 angegeben, dass man maximal drei Versuche für die Eingabe des Passworts hat. Die Werte hinter min= bedeuten folgendes:
min=8,8,8,7,6
| | | | |
| | | | > minimale Passwortlänge für Passwörter mit 4 Zeichenklassen
| | | > minimale Passwortlänge für Passwörter mit 3 Zeichenklassen
| | > minimals Passwortlänge für Passwort-Phrasen (mehrere Wörter)
| > minimale Passwortlänge für Passwörter mit 2 Zeichenklassen
> minimale Passwortlänge für Passwörter mit 1 Zeicheklasse
Folgende Zeichenklassen sind hierbei definiert:
1. kleine Buchstaben
2. große Buchstaben
3. Ziffern
4. Sonderzeichen
Gibt man nun statt eines Zahlenwertes für eine Passwortkategorie den Wert disabled an, so ist die Verwendung eines Passworts dieser Kategorie verboten. So kann man also mit min=8,8,8,7,disabled angeben, dass Passwörter mit einer Zeichenklasse verboten sind.
Nun kann man die minimalen Passwortlängen entsprechend verändern oder bestimmte Passwörter verbieten. Möchte man hingegen die Komplexitätsprüfung generell abschalten, so kann man die zweite Zeile der Datei common-password wie folgt ändern:
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,8,7,6 enforce=none