326.3ユーザの管理と認証

LinuCレベル3 303試験の出題範囲から「326.3 ユーザの管理と認証」についての例題を解いてみます。
今回は、パスワードポリシーの設定方法について取り上げます。パスワードに有効期限を設定する方法について理解しましょう。

例題

ログインパスワードの設定から30日以上経過した場合は再設定させるようにしたい。
/etc/login.defs ファイルに下記のように記述する場合、______ に当てはまる文字列を記述しなさい。

______ 30

※この例題は実際の試験問題とは異なります。

/etc/login.defs ファイルでは、パスワードポリシーのうち期限関連の設定ができます。設定項目としては PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_WARN_AGE の3つがあります。

PASS_MAX_DAYS では設定したパスワードが使える最長日数を指定します。この日数より古いパスワードを使用している場合は変更が強制されます。-1 と設定するとこの機能が無効になります。

PASS_MIN_DAYS ではパスワード設定後、次に再設定が可能になるまでの最短日数を指定します。指定した日数以前にパスワードを変更しようとすると拒否されます。-1 と設定するとこの機能が無効になります。

PASS_WARN_AGE ではパスワードが期限切れとなる指定日数前から、警告メッセージが表示されるようになります。負の数を設定すると警告は行われません。

なお、現在ではパスワードの定期変更は推奨されていません。定期的に変更させることにより簡単なパスワードを設定してしまったり、他のパスワードを使いまわしたりしてしまうケースがあるためです。

パスワードポリシーのうち文字種や文字数などの設定については、従来は pam_cracklib で行われていました。現在は pam_cracklib の開発は終了しており、代わりに pam_pwquality や pam_passwdqc の使用が推奨されています。

パスワードに有効期限を設定する方法について理解しましょう。