Debian Debian-France Debian-Facile Debian-fr.org Debian-fr.xyz Debian ? Communautés

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).


L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Utiliser et configurer les outils libpam-pwquality

Introduction

Les outils libpam-pwquality permettent de paramétrer le refus des mots de passe trop faibles. Ils permettent aussi de les évaluer en fonction de leur caractère aléatoire apparent et de les comparer à un dictionnaire des mots de passe trop courants. Ils reprennent ainsi les fonctions du paquet pam_cracklib en restant compatibles tout en ajoutant des nouvelles fonctions.

Sources :

note

Plus d'informations sur les bibliothèques libpam ici :

Voir les infos de : https://www.google.com/search?source=hp&ei=PGzzX5OEPIiwa8u9m9AI&q=pam+pwquality+vs+cracklib&oq=libpam-pwquality+versus+cracklib

Installation

apt-get update && apt-get install libpam-pwquality libpwquality-tools

Un message par une fenêtre ncurses indiquera probablement que que pam_cracklib était déjà installé et qu'il sera désactivé. En effet, un seul gestionnaire de mot de passe peut être activé.

note

Si vous passez d'un gestionnaire de mot de passe à un autre par une installation ou une désinstallation ou si vous voulez savoir lequel est en vigueur, utilisez la commande :

pam-auth-update

Visualisation des options par défaut et fichier à modifier

Les options par défaut de libpam-pwquality peuvent être visualisées par :

cd /etc/pam.d/

suivi de :

grep 'pwquality' *

Dans debian 10 buster, vous aurez cette réponse :

common-password:password	requisite			pam_pwquality.so retry=3

Le fichier à modifier est où se trouve mentionné la bibliothèque partagée pam_pwquality.so, c'est à dire /etc/pam.d/common-password et à la ligne où est présent le terme pam_pwquality.so

L'option par défaut présente : retry=3, c'est à dire que qu'au maximum 3 tentatives ratées de connexion au compte sont autorisées.

Configuration

Comme indiqué on modifie le fichier /etc/pam.d/common-password et à la ligne où est présent le terme pam_pwquality.so en indiquant les options que vous choisissez dans le tableau des options suivant.

nano /etc/pam.d/common-password

Tableau des options

(N> = 0) C'est le crédit maximum pour avoir des chiffres dans le nouveau mot de passe. Si vous avez moins de ou N chiffres, chaque chiffre comptera +1 pour atteindre la valeur minlen actuelle. La valeur par défaut pour dcredit est 0, ce qui signifie qu'il n'y a pas de bonus pour les chiffres dans le mot de passe.

mots-clés action/description
difok=NNombre de caractères du nouveau mot de passe qui ne sont pas présents dans l'ancien, par défaut difok=1
minlen=NTaille minimum du nouveau mot de passe. Cependant un bonus d'un caractère en plus est rajouté si un type de caractères différent de plus est présent dans le mot de passe.
dcredit=NSi dcredit < 0, dcredit est l'opposé du nombre minimum de chiffres dans le nouveau mot de passe, exemple si dcredit = -5, il faut au moins 5 chiffres dans le mot de passe.
ucredit=NSi ucredit < 0, ucredit est l'opposé du nombre minimum de lettres majuscules dans le nouveau mot de passe, exemple si ucredit = -4, il faut au moins 4 lettres majuscules dans le mot de passe
lcredit=NSi lcredit < 0, lcredit est l'opposé du nombre minimum de lettres minuscules dans le nouveau mot de passe, exemple si lcredit = -10, il faut au moins 10 lettres minuscules dans le mot de passe. Si lcredit > 0, alors le nombre de caractères minimum utilisé par le mot de passe diminue de minlen à (minlen - lcredit). (par défaut 0)
ocredit=NSi ocredit < 0, ocredit est l'opposé du nombre minimum de caractères spéciaux dans le nouveau mot de passe, exemple si ocredit = -4, il faut au moins 4 caractères spéciaux dans le mot de passe. Si ocredit > 0, alors le nombre de caractères minimum utilisé par le mot de passe diminue de minlen à (minlen - ocredit). (par défaut 0)
minclassLe nombre minimum de types de caractères requis pour le nouveau mot de passe (chiffres, majuscules, minuscules, autres). (par défaut 0)
maxrepeatSi maxrepeat=N, alors un caractère ne pourra pas être présent plus de N fois
maxclassrepeat=NRejete les mots de passe contenant plus de N caractères consécutifs du même type. La valeur par défaut est 0, ce qui signifie que la vérification est désactivée
gecoscheckà faire
dictcheckSi dictchech est différent de 0, vérifie si le mot de passe est présent dans le dictionnaire cracklib des mots de passe trop courants
usercheckSi usercheck est différent de 0, vérifie si le mot de passe contient le nom de l'utilisateur $USER. Cette vérification n'est pas effectuée pour les noms d'utilisateur de moins de 3 caractères.
usersubstrà faire
enforcingà faire
dictpathà faire
retryNombre maximum de tentatives ratées de connexion au compte
enforce_for_rootCette option renverra une erreur en cas d'échec de la vérification même si l'utilisateur qui modifie le mot de passe est root. Cette option est désactivée par défaut, ce qui signifie que dans ce cas seul le message concernant l'échec de la vérification est affiché mais que root peut quand même changer le mot de passe. Pour la sécurité, il vaut mieux donc activer cette option. Notez qu'à root on ne demande pas un ancien mot de passe, donc les vérifications qui comparent l'ancien et le nouveau mot de passe ne seront pas effectuées.
local_users_onlyà faire

Utilisation et exemples expliqués

/etc/pam.d/common-password
# here are the per-package modules (the "Primary" block)
password        requisite                       pam_pwquality.so retry=3 minlen=12

Si vous ne respectez pas la consigne :

passwd utilisateur0
Nouveau mot de passe : 
MOT DE PASSE INCORRECT : Le mot de passe comporte moins de 12 caractères


/etc/pam.d/common-password
password        requisite                       pam_pwquality.so retry=3 dictcheck=1

Tester ses mots de passe

utilisateurs/gilles/tutos/accueil.txt · Dernière modification: 09/01/2021 02:19 par --gilles--

Pied de page des forums

Propulsé par FluxBB