偶也来送分，先到先得(02)：密码长度控制与密码策略

yuhuohu

Q:如何修改solaris的配置，让密码最大长度超过8位？

A:

P:这个问题看似简单，却无数的人为之倾倒，答案不能太简陋，请加以一定的描述解释




送分系列帖汇总：
======================================================================

• 偶也来送分，先到先得(01) ：NIS相关进程为何以yp开头
• 偶也来送分，先到先得(02) ：密码长度控制
• 偶也来送分，先到先得(04) ：Inode,nbpi
• 偶也来送分，先到先得(03) ：sys-unconfig
• 偶也来送分，先到先得(05) ：系统补丁
• 偶也来送分，先到先得(06) ：Solaris的由来
• 偶也来送分，先到先得(07) ：metadb
• 偶也来送分，先到先得(0 ：主次设备号
• 偶也来送分，先到先得(09) ：UFS文件系统的最大空间
• 偶也来送分，先到先得(10) ：关于显卡
• 偶也来送分，先到先得(11) ：关于终端类型
• 偶也来送分，先到先得(12) ：bourne shell中的光标
• 偶也来送分，先到先得(13) ：修改solaris 10的运行级别
• 偶也来送分，先到先得(14) ：运行级别3不启动图形界面
• 偶也来送分，先到先得(15) ：如何实现脚本被终止后还能自启动

======================================================================

[ 本帖最后由 yuhuohu 于 2008-12-26 16:57 编辑 ]

东方蜘蛛

Solaris在/etc/security/policy.conf中提供了4种不同的密码方案，查看该policy.conf，注意以下行：

    CRYPT_ALGORITHMS_ALLOW=1,2a,md5
    #CRYPT_ALGORITHMS_DEPRECATE=__unix__
    CRYPT_DEFAULT=__unix__

上述提供的算法中除了__unix__是不太让人不放心的crypt_unix，其他几个都在/etc/security/crypt.conf中有相应的描述：

1 (crypt_bsdmd5.so): One-way password hashing module for use with crypt(3C) that uses the MD5 message hash algorithm. The output is compatible with md5crypt on BSD and Linux systems. Password Limit: 255 chars
2a (crypt_bsdbf.so): One-way password hashing module for use with crypt(3C) that uses the Blowfish cryptographic algorithm. Password Limit: 255 chars
md5 (crypt_sunmd5.so): One-way password hashing module for use with crypt(3C) that uses the MD5 message hash algorithm. This module is designed to make it difficult to crack passwords that use brute force attacks based on high speed MD5 implementations that use code inlining, unrolled loops, and table lookup. Password Limit: 255 chars

要想获得更好的密码安全性，只需要修改/etc/securiry/policy.conf中的两行：取消CRYPT_ALGORITHMS_DEPRECATE前面的注释符，并修改CRYPT_DEFAULT行为你希望使用的密码算法。

     CRYPT_ALGORITHMS_DEPRECATE=__unix__
     CRYPT_DEFAULT=2a

现在你就可以使用passwd修改密码，即使是crypt_unix已经作废的密码仍然是可以被接受的。你可以通过在/etc/shadow的密码前面加上$type$来告知使用何种密码格式。例如：

• moqZuc0PXJ/gw: Traditional UNIX password
• $1$AR11mcp5$5wP5t99.kiHBiJ3qrg9jW1: Linux/BSD Compatible MD5
• $2a$04$Q4m1iCDQWCl9l6h6yDFcC.agmbB21YXJxhrB1bmfnVOcrZwBBZUsm: Blowfish password
• $md5$3UqYqndY$$6P.aaWOoucxxq.l00SS9k0: Sun MD5 password
  

我必须提醒大家，如果密码算法没有作废，那么修改的密码仍将使用已存在的密码格式。也就是说如果你使用Sun MD5作为缺省的密码格式，创建一个用户，设定密码，接着你又改变了缺省密码格式，然后又修改密码，因为你并没有将原密码算法作废，所以修改的密码仍将使用已存在的Sun MD5格式。所以这里的关键就是，如果你想把所有用户的密码从一种格式转换的另一种格式，请确保废弃掉那些你不再想使用的密码格式，以获得所期望的效果。

[ 本帖最后由 东方蜘蛛 于 2007-9-7 16:57 编辑 ]

rabinwang

应该可以修改
/etc/default/passwd, 将
MAXWEEKS
MINWEEKS
PASSLENGTH
的值修改就可以吧！

东方蜘蛛

编辑/etc/default/passwd,设置：
PWMIN=1 # 最短改变时间
PWMAX=13 # 密码最长有效时间
PWWARN=4 # 密码失效前几天通知用户
PWLEN=8 # 最短密码长度

filtercai

好像还要改密码加密算法，默认的算法（DES）就只检查前8位

yuhuohu

2/3楼均错。。。问的是修改系统允许的最大密码长度。。。。答非所问严重偏题，扣－1W分

4楼的方向性对了，继续加油

wuqing

原帖由 yuhuohu 于 2007-9-7 12:06 发表
Q:如何修改solaris的配置，让密码最大长度超过8位？

A:

P:这个问题看似简单，却无数的人为之倾倒，答案不能太简陋，请加以一定的描述解释

Edit /etc/security/policy.conf
Add "#" before configuration line "CRYPT_DEFAULT=__unix__"
Add CRYPT_DEFAULT=md5

rabinwang

楼主，答案究竟是什么啊？我等不急了！

rabinwang

盘丝大仙，出来说句话啊！

yuhuohu

6楼的配置步骤正确，加点解释就更完美了，等待更完善的回答ing