[RHEL]/etc/pam.d/system-authにおけるpam_pwquality.soのオプション


はじめに

仕事でちょっとpwquality.soのオプションを調べる機会があり、その中でドツボにハマったので備忘がてら記載します。

pam_pwquality.soとは

パスワードの強固さを検証するためのモジュール。
/etc/pam.d/system-auth/etc/pam.d/password-authの中でロードする。
(二つのファイルの違いは謎ですが、「system-auth>password-auth」の優先度があるみたいです(詳しくは宿題))
オプションは/etc/security/pwquality.confで指定することもできる。

(RHEL7マニュアル)
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/security_guide/chap-hardening_your_system_with_tools_and_services

デフォルトの記載はこんな感じ。

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

特にハマったのが、「local_users_only」と「authtok_type」オプションの意味がなかなか見つからなかったことです。

調べ方と調べた内容

結論だけ言うと、man pam_pwqualityで調べるのが一番早いし楽でした。

(参考ページ)
https://www.unix-power.net/networking/post-742

以下、オプションについて調べた結果。

オプション 意味
local_users_only /etc/passwdに記載されているユーザのみをパスワード検証の対象にする
authtok_type パスワード変更時のプロンプトを指定("New UNIX password: "や"Retype UNIX password: "の"UNIX"の部分。指定が無ければ"UNIX"になる)