Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.2. authconfigを使用したシステムパスワードの設定

4.2.1. パスワードセキュリティー

パスワードがプレーンテキスト形式で格納されている場合は、クラッキング、不正アクセス、または改ざんに対して脆弱です。これを防ぐため、暗号化ハッシュアルゴリズムを使用してパスワードハッシュダイジェストをセキュアに保存します。IdM で対応している推奨(およびデフォルト)ハッシュアルゴリズムは SHA-512 です。これは、64 ビットの単語を使用し、追加のセキュリティーに salt および ストレッチされます。後方互換性を確保するために、SHA-256、DES、BigCrypt、および MD5 ハッシュアルゴリズムもサポートされます。
重要
後方互換性が必要ない場合は、安全なため、SHA-512 のみを使用します。

4.2.1.1. UI でのパスワードハッシュの設定

Local Authentication Options タブで、ローカルパスワードがシステムに格納される方法を設定します。Password Hashing Algorithm ドロップダウンメニューは、パスワードハッシュをセキュアに保存するアルゴリズムを設定します。
  1. にあるように authconfig UI 「authconfig UI の起動」
  2. 高度なオプション タブを開きます
  3. Password Hashing Algorithm ドロップダウンメニューで、使用するアルゴリズムを選択します。
  4. Apply ボタンをクリックします。

4.2.1.2. コマンドラインでのパスワードハッシュの設定

ユーザーパスワードダイジェストをセキュアに保存するために使用されるハッシュアルゴリズムを設定または変更するには、--passalgo オプションとアルゴリズムの短縮名を使用します。以下の例では、SHA-512 アルゴリズムを使用します。 
[root@server ~]# authconfig --passalgo=sha512 --update

4.2.2. パスワードの複雑さ

パスワードの複雑性は、パスワードをローカルユーザーアカウントに設定できる値に設定する必要があるかを設定します。複雑さは、文字クラスの長さとバリエーションの組み合わせです。これを確認するには、複雑なパスワードに対してポリシーを設定する部分が 2 つあります。パスワードで使用する文字のタイプ(大文字、小文字、特殊文字など)を特定することと、パスワード内でこれらの文字をパスワード内で使用できるか(その文字を何度も繰り返す必要がある)点が 2 つあります。

4.2.2.1. UI でのパスワード複雑性の設定

  1. にあるように authconfig UI 「authconfig UI の起動」
  2. パスワードオプション タブを開きます。
  3. パスワードの最小要件を設定します
    • パスワードの最小長
    • パスワードで使用する必要のある文字クラスの最小数。
  4. パスワードに使用する必要のある文字クラスを有効にしますたとえば、大文字は任意のパスワードで使用できますが、Uppercase チェックボックスを選択した場合は、すべてのパスワードで大文字を使用する必要があります。
  5. 文字または文字クラスを連続して繰り返し実行できる回数を設定します。(ゼロに設定すると繰り返される制限はありません)。
    Same Character フィールドには、これは 1 文字または文字を繰り返す頻度を設定します。これを 2 に設定すると、ssecret は許可されますが、sssecret は拒否されます。
    同様に、Same Class は、文字クラス(大文字、数字、特殊文字)からの文字数に制限を設定します。これを 3 に設定すると(secret! など)、secret!! が許可されますが、secret!!@ または secret1234 は拒否されます。
  6. Apply ボタンをクリックします。

4.2.2.2. コマンドラインでのパスワード複雑さの設定

コメントの行でパスワードの複雑さを定義する際には、要件を 2 つ設定できます。最初の設定は、パスワードを構築する方法の要件(その長さ、繰り返すことができます)と、さまざまなタイプの文字を使用すべきものに設定します。
  • 最小長(--passminlen)。
  • 使用すべき異なるタイプの文字の最小数(--passminclass)。
  • 文字が繰り返し連続できる回数(--passmaxrepeat)。これをゼロに設定すると、繰り返される制限はありません。
  • 、(数字など)同じタイプの文字を行で使用することができます(--passmaxclassrepeat)。これをゼロに設定すると、繰り返される制限はありません。
2 番目目は、パスワードに使用できる文字タイプまたはクラスを定義します。すべての文字タイプは暗黙的に許可されます。--enablereqType オプションを使用すると、指定のクラスが絶対的に要求されるか、パスワードが拒否されます。(逆に、タイプを明示的に拒否することもできます。)
  • 大文字(--enablerequpper)
  • 小文字(--enablereqlower)
  • Numbers (--enablereqdigit)
  • 特殊文字(--enablereqother)
たとえば、nine 文字の最小長さを設定し、文字またはクラスを 2 回以上繰り返すことはできず、大文字と特殊文字の両方が必要になります。 
[root@server ~]# authconfig --passminlen=9 --passminclass=3 --passmaxrepeat=2 -passmaxclassrepeat=2 --enablerequpper --enablereqother --update
このページには機械翻訳が使用されている場合があります (詳細はこちら)。