pwquality

Premessa

Utenze locali non amministrative non hanno ragione d'essere. E' sufficiente forzare la sicurezza di tutte le utenze locali.

Per gli utenti che accedono solo con public key si risparmia questo lavoro con la disabilitazione (lockdown) della password:

   passwd -l username

Utenze locali linux

Scadenza password

Per ciascun utente locale già presente:

   chage -M 89 -W 14 username

Modificare /etc/login.defs:

   PASS_MAX_DAYS	89
   PASS_MIN_DAYS	0
   PASS_WARN_AGE	14
   

(scadenza password ogni 89 gg, warning quando ne mancano 14).

Qualità password

Modificare /etc/security/pwquality.conf:

   minlen = 14
   dcredit = 0
   ucredit = 0
   lcredit = 0
   ocredit = 0
   minclass = 3

Password aging

Aggiungere in /etc/pam.d/common-password la riga:

   [...]
   password	requisite			pam_pwquality.so retry=3
   # da aggiungere solo la riga seguente:
   password    	required       			pam_pwhistory.so   use_authtok
   password	[success=2 default=ignore]	pam_unix.so obscure use_authtok try_first_pass sha512
   [...]

Oppure, in alternativa, su Debian, creare il file: /usr/share/pam-configs/pwhistory

   Name: Pwhistory password aging
   Default: yes
   Priority: 1023
   Password-Type: Primary
   Password:
     requisite			pam_pwhistory.so use_authok
   Password-Initial:
     requisite			pam_pwhistory.so use_authok

ed eseguire:

   sudo /usr/sbin/pam-auth-update --package

Notifiche

In ogni caso è meglio creare un file ~.forward con l'indirizzo di mail dell'utente a cui il sistema spedisca gli avvisi di scadenza password.