Fichier passwd_policy

Editer en ligne

Objectif

Définit les types et les constantes de manifeste requis pour la prise en charge de la fonction passwdpolicy() .

Descriptif

L'interface passwdpolicy() utilise des règles nommées pour déterminer la force d'un nouveau mot de passe. Cette interface est destinée aux applications qui gèrent les informations de règles dans les bases de données d'attributs par utilisateur (par exemple, /etc/security/user) ou qui utilisent les nouveaux fichiers de règles (/etc/security/passwd_policy et /usr/lib/security/passwd_policy) pour créer des règles sur les mots de passe qui ne sont pas associées à un utilisateur spécifique.

Les applications de sécurité système peuvent nommer des stratégies qui sont ensuite appliquées à l'aide des règles nommées dans /etc/security/passwd_policy. Ce fichier se trouvant dans le répertoire /etc/security , il n'est accessible que par les applications exécutées par root ou par un membre de la sécurité du groupe. Le fichier /usr/lib/security/passwd_policy est destiné aux applications qui souhaitent utiliser ces nouvelles API pour appliquer leurs propres règles de validation des mots de passe. Il n'y a pas de prise en charge d'une strophe par défaut. Chaque application doit plutôt nommer une strophe qu'elle souhaite utiliser comme strophe par défaut, puis effectuer une vérification explicite par rapport à cette strophe. Outre les règles de construction de base prises en charge par passwdstrength(), cette interface prend en charge la vérification de dictionnaire, les historiques de mot de passe par utilisateur et les extensions de module de chargement définies par l'administrateur.

Le format du fichier passwd_policy est similaire aux attributs de règle de construction de mot de passe stockés dans le fichier /etc/security/user , à l'exception du fait que les règles nommées n'incluent pas les attributs histsize et histexpire. Chaque fichier est une séquence de zéro ou plusieurs strophes, la règle nommée étant le nom de la strophe. Chaque section contient un ou plusieurs attributs décrivant les règles de mot de passe qui doivent être satisfaites pour qu'un mot de passe soit accepté.

Exemple

ibm_corp_policy:	
        dictionlist = /usr/share/dict/words,/usr/local/lib/local_words	
        maxage = 26
        minage = 2	
        maxexpired = 2	
        maxrepeats = 2
        mindiff = 6
        minalpha = 4	
        minother = 2	
        minlen = 7	
        pwdchecks = /usr/lib/security/more_checks.so

Les attributs maxage, minage, maxexpired, maxrepeat, mindiff, minalpha, minother et minlen sont des entiers. Les attributs dictionlist et pwdchecks sont des listes de noms de fichiers séparés par des virgules. Pour plus d'informations sur les valeurs valides pour les attributs, voir /etc/security/user.

Autorisations

Les droits d'accès sur /etc/security/passwd_policy sont 660, propriétaire root, groupe security. Cela restreint l'accès aux processus disposant des privilèges nécessaires pour effectuer d'autres tâches d'administration de la sécurité. Les droits sur /usr/lib/security/passwd_policy sont 664, propriétaire root , groupe security. Cela permet à tous les processus de lire le fichier, tout en limitant l'accès administrateur aux processus disposant des privilèges nécessaires pour effectuer d'autres tâches d'administration de la sécurité. Les applications choisissent entre les fichiers de règles à l'aide du paramètre de type de la fonction passwdpolicy() .

Emplacement

Article Descriptif
/usr/lib/security/passwd_policy Emplacement des valeurs de règle pour PWP_LOCALPOLICY.
/etc/security/passwd_policy Emplacement des valeurs de règle pour PWP_SYSTEMPOLICY.