Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.2. authconfigを使用したシステムパスワードの設定

4.2.1. パスワードセキュリティー

パスワードがプレーンテキスト形式で保存されている場合は、クラッキング、不正アクセス、または改ざんに対して脆弱になります。これを防ぐため、暗号ハッシュアルゴリズムを使用してパスワードハッシュダイジェストをセキュアに保存できます。IdM でサポートされている推奨 (およびデフォルト) のハッシュアルゴリズムは SHA-512 です。これは、64 ビットのワードを使用し、セキュリティーを強化するためにソルトとストレッチも使用します。後方互換性を確保するために、SHA-256、DES、BigCrypt、および MD5 ハッシュアルゴリズムもサポートされます。
重要
下位互換性が必要ない場合は、より安全な SHA-512 のみを使用してください。

4.2.1.1. UI でのパスワードハッシュの設定

Local Authentication Options タブは、ローカルパスワードがシステムに保存される方法を設定します。パスワードハッシュ アルゴリズム ドロップダウン メニューは、パスワードハッシュをセキュアに保存するようにアルゴリズムを設定します。
  1. 「authconfig UI の起動」 のように、authconfig UI を開きます。
  2. 高度なオプション タブを開きます。
  3. パスワードハッシュ アルゴリズム ドロップダウンメニューで、使用するアルゴリズムを選択します。
  4. Apply ボタンをクリックします。

4.2.1.2. コマンドラインでのパスワードハッシュの設定

ユーザーパスワードダイジェストをセキュアに保存するために使用するハッシュアルゴリズムを設定または変更するには、--passalgo オプションとアルゴリズムの短縮名を使用します。以下の例では、SHA-512 アルゴリズムを使用しています。
[root@server ~]# authconfig --passalgo=sha512 --update

4.2.2. パスワードの複雑性

パスワードの複雑性 は、ローカルユーザーアカウントに対してパスワードを設定する方法を設定します。複雑さは、長さと文字クラスのバリエーションの組み合わせです。これを確認する 1 つの方法は、複雑なパスワードのポリシーを設定するには、2 つの要素があるということです。パスワードに使用できる文字の種類 (大文字、小文字、特殊文字など) を特定することと、この文字をパスワードでどのように使用するか (どのくらいの長さが必要か、どのくらいの頻度で文字を繰り返すことができるかを特定することです。

4.2.2.1. UI でのパスワードの複雑性の設定

  1. 「authconfig UI の起動」 のように、authconfig UI を開きます。
  2. パスワードオプション タブを 開きます。
  3. パスワードの 最小長 を設定します。
    • パスワードの最小長
    • パスワードで使用する必要のある文字クラスの最小数。
  4. パスワードに使用する 必要のある 文字クラスを有効にします。たとえば、任意のパスワードで大文字を使用できますが、Uppercase チェックボックスを選択した場合は、すべてのパスワードで大文字を使用する必要があります。
  5. 文字または文字クラスが連続して繰り返すことができる回数を設定します。(ゼロに設定すると、制限が繰り返されません。)
    同じ文字 フィールドの場合、1 文字または文字を繰り返す頻度を設定します。たとえば、これを 2 に設定すると、ssecret は使用できますが、sssecret は使用できません。
    同様に、同じクラス は、文字クラス(大文字、番号、特殊文字)から文字を繰り返すことができる回数に制限を設定します。これを 3 に設定すると、たとえば secret!! は使用できますが、secret!!@ または secret1234 は使用できません。
  6. Apply ボタンをクリックします。

4.2.2.2. コマンドラインでのパスワードの複雑性の設定

コメント行でパスワードの複雑性を定義する場合、要件の設定には 2 つの部分があります。1 つ目は、パスワードの作成方法に関する要件を設定することです。パスワードの長さ、文字を繰り返すことができるか、使用する必要がある文字の種類です。
  • 最小長 (--passminlen)。
  • 使用する必要のあるさまざまなタイプの文字の最小数 (--passminclass)。
  • 文字が連続して繰り返すことができる回数 (--passmaxrepeat)。このパラメーターをゼロに設定すると、繰り返し制限がなくなります。
  • (数字など) 同じタイプの文字が 1 行で使用できる回数 (--passmaxclassrepeat)。このパラメーターをゼロに設定すると、繰り返し制限がなくなります。
もう 1 つは、パスワードに使用できるタイプまたは文字クラスを定義します。すべての文字タイプは暗黙的に許可されます。--enablereqType オプションを使用すると、指定したクラスが絶対に必要であるか、パスワードが拒否されます。(逆に、型を明示的に拒否することもできます))
  • 大文字 (--enablerequpper)
  • 小文字 (--enablereqlower)
  • 番号 (--enablereqdigit)
  • 特殊文字 (--enablereqother)
たとえば、これは 9 文字の最小長を設定し、文字またはクラスを 2 回以上繰り返すことを許可せず、大文字と特殊文字の両方を必要とします。
[root@server ~]# authconfig --passminlen=9 --passminclass=3 --passmaxrepeat=2 -passmaxclassrepeat=2 --enablerequpper --enablereqother --update