Представьте себе безумного администратора сервера Debian, который добавил пользователей со слабым паролем для начала и подсказкой, что они должны изменить его при первом входе в систему.
Теперь, когда он использует только безопасные пароли, есть ли способ предложить каждому пользователю со слабым паролем сменить его на более безопасный пароль, содержащий не менее 12 символов, цифр, специальных символов, ... не беспокоя пользователей, что уже есть безопасный пароль?
Двухэтапное решение:
Не позволяйте пользователям создавать слабые пароли. Вы можете частично сделать это с помощью pam_unix.so с помощью строки, как в вашей конфигурации pam (предположительно в /etc/pam.d/common-password или аналогичной) (затемнение и minlen = 9 помогут немного):
пароль [успех = 1 по умолчанию = игнорировать] pam_unix.so неясный minlen = 9 sha512или установите более сложную проверку паролей в PAM (например, pam-cracklib, который проверяет надежность пароля, может проверять пароли по словарям и т. д. всякий раз, когда пользователь пытается изменить свой пароль.).
Если вы ранее разрешали использовать слабые пароли, необходимо изменить все пароли при следующем входе. Посмотрите на man shadow чтобы увидеть, как установить пароль, установив дату последнего изменения пароля на 0 , при условии, что вам не нужно редактировать /etc/shadow напрямую - вы можете сделать это с помощью sudo chage -d 0 $USERNAME (или использовать sudo passwd -e $USERNAME). Если вы хотите истечь все пароли, и у каждого есть каталог со своим именем пользователя в /home вы можете сделать:
sudo su cd /home для USERNAME в *; do chage -d 0 $ USERNAME; сделанный
Вам нужен Cracklib и PAM-Cracklib, чтобы решить ваше дело. Идея состоит в том, что SSH будет использовать PAM, а пароль будет проверен без проблем и надежно. Посмотрите на последнюю ссылку, которую я предоставил - она содержит отличный учебник, мне нечего добавить
Нет, он не сможет этого сделать.
Пароль хранится только как "хеш" в /etc /shadow-. Поэтому администратор не знает, как выглядят пароли.
Таким образом, он может только предложить всем пользователям изменить пароль при следующем входе в систему, а затем убедиться, что он верный.
