Pluggable Authentication Module (PAM)機能を使用すると、強力なユーザー認証およびパスワードの複雑さ、長さ、経過期間、有効期限、前のパスワードの再利用を規定するルールを含むパスワード・ポリシーを実施できます。 ログイン試行に何回も失敗した後、通常の勤務時間後、または同時セッションが多数開かれている場合に、ユーザー・アクセスをブロックするようPAMを構成できます。

PAMは様々なモジュールおよびカスタマイズ可能なパラメータが使用されているため、高度にカスタマイズできます。 たとえば、デフォルトのパスワード整合性チェック・モジュールpam_cracklib.soはパスワードの強度をテストします。 PAM構成ファイル(/etc/pam.d/system-auth)には、パスワードの強度をテストするための次のデフォルト・エントリが含まれます。

password  requisite   pam_cracklib.so try_first_pass retry=3 type=
password  sufficient  pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password  required    pam_deny.so

pam_cracklib.soの行では、適切なパスワードを選択するために3回試行できることが定義されています。 モジュールのデフォルト設定では、パスワード長は最小6文字で、そのうち3文字は前のパスワードと異なる必要があることが定義されています。

pam_unix.soの行では、モジュールでパスワード・チェックを実行せず(pam_cracklibですでにチェックを実行したため)、SHA-512パスワード・ハッシュを使用し、既存のパスワードがnullの場合にアクセスを許可し、/etc/shadowファイルを使用することを指定しています。

制御フラグとモジュール・パラメータを変更して、ユーザーがパスワードを変更するときに実行されるチェックを変更できます。例を示します。

password  required  pam_cracklib.so retry=3 minlen=8 difok=5 minclass=-1
password  required  pam_unix.so use_authtok sha512 shadow remember=5
password  required  pam_deny.so

pam_cracklib.soの行では、適切なパスワードを選択するためにユーザーは3回試行でき、パスワード長は最小8文字で、そのうち5文字は前のパスワードと異なる必要があり、大文字、小文字、数字、英数字以外の文字を少なくとも1つずつ使用する必要があることを指定しています。

pam_unix.soの行では、モジュールではパスワード・チェックを実行せず、SHA-512パスワード・ハッシュを使用し、/etc/shadowファイルを使用し、各ユーザーの過去5つのパスワードに関する情報を/etc/security/opasswdファイルに保存することを指定しています。 nullokが指定されていないため、既存のパスワードがnullの場合、ユーザーはパスワードを変更できません。

try_first_passキーワードが省略されているため、同じモジュールまたはスタックの前のモジュールで入力した場合でも、ユーザーは常に既存のパスワードを尋ねられます。

パスワード・チェックに、pam_passwdqc.soなどの代替モジュールを使用できます。

詳細は、23.7項「Pluggable Authentication Moduleについて」と、pam_cracklib(8)、pam_deny(8)、pam_passwdqc(8)およびpam_unix(8)の各マニュアル・ページを参照してください。