passwd_policy 文件
用途
定义支持 passwdpolicy() 函数所需的类型和清单常量。
描述
passwdpolicy() 接口使用指定的策略来确定新密码的强度。 此接口适用于在每个用户属性数据库 (例如 /etc/security/user) 中维护策略信息或者使用新策略文件 (/etc/security/passwd_policy 和 /usr/lib/security/passwd_policy) 创建与特定用户无关的密码策略的应用程序。
系统安全性应用程序可以命名策略,然后使用 /etc/security/passwd_policy中的指定规则来实施这些策略。 由于此文件位于 /etc/security 目录中,因此只能由 root 用户运行的应用程序或组安全性的成员访问此文件。 /usr/lib/security/passwd_policy 文件适用于希望使用这些新 API 来实施其自己的密码强度规则的应用程序。 不支持缺省节,而是每个应用程序都必须指定它希望用作缺省节的节,然后显式地检查该节。 除了 passwdstrength()支持的基本构造规则外,此接口还支持字典检查,每个用户的密码历史记录以及管理员定义的装入模块扩展。
passwd_policy 文件的格式类似于存储在 /etc/security/user 文件中的密码构造规则属性,但指定的策略不包含组大小和组到期属性。 每个文件都是零个或多个节的序列,其中指定的策略是节名称。 每个节都包含一个或多个描述密码规则的属性,必须满足这些属性才能接受密码。
示例
ibm_corp_policy:
dictionlist = /usr/share/dict/words,/usr/local/lib/local_words
maxage = 26
minage = 2
maxexpired = 2
maxrepeats = 2
mindiff = 6
minalpha = 4
minother = 2
minlen = 7
pwdchecks = /usr/lib/security/more_checks.somaxage , minage , maxexpired , maxrepeats , mindiff , minalpha , minother 和 minlen 属性都是整数。 dictionlist 和pwd检入属性是逗号分隔的文件名列表。 有关属性有效值的更多信息,请参阅 /etc/security/user。
许可权
对 /etc/security/passwd_policy 的许可权应为 660 ,所有者为 root,组为 security。 这将限制对具有执行其他安全管理任务所需的特权的进程的访问。 /usr/lib/security/passwd_policy 上的许可权应为 664 ,所有者为 root ,组为 security。 这允许所有进程读取文件,同时限制对具有执行其他安全管理任务所需的特权的进程的管理访问权。 应用程序使用 passwdpolicy() 函数的类型参数在策略文件之间进行选择。
位置
| 项 | 描述 |
|---|---|
| /usr/lib/security/passwd_policy | PWP_LOCALPOLICY 的策略值的位置。 |
| /etc/security/passwd_policy | PWP_SYSTEMPOLICY 的策略值的位置。 |