config pam.d pour ubuntu 18.04 (empecher les utilisateur de réutiliser un ancien mot de passe)
Bonjour tout le monde
j'ai actuellement un problème avec une config pam qui fonctionnait avec ubuntu 16.04 et qui ne fonctionne plus avec ubuntu 18.04
le but est d’empêcher que les utilisateurs réutilisent le même mot de passe et que le changement de mot de passe puisse se faire avec la commande chpasswd (on utilise un script)
les exemples que je trouve sur le web ne fonctionnent pas du tout, ou bien pas comme il faut (par exemple ça va bien retourner que le mot de passe a déjà été utilisé (avec remember=xx), mais ça ne refuse pas pour autant de le mettre à jour)
l'argument 'use_authtok pose des problèmes lorsque je cherche à l'utiliser avec le module pam_unix.so:
chpasswd: pam_chauthtok() failled, error Authentication token manipulation error
auriez-vous un exemple de /etc/pam.d/common-password qui fonctionne pour de vrai avec unbuntu 18.04?
merci pour votre attention
Il est déconseillé d'utiliser pam_unix pour stocker l'historique des mots de passe (car il n'utilise que du MD5), il vaut mieux passer par pam_pwhistory (qui utiliser SHA512)
Les détails pour le mettre en place: https://askubuntu.com/a/1310313
Pierre.
On Fri, 25 Jun 2021 at 13:11, err404@free.fr wrote:
Bonjour tout le monde
j'ai actuellement un problème avec une config pam qui fonctionnait avec ubuntu 16.04 et qui ne fonctionne plus avec ubuntu 18.04
le but est d’empêcher que les utilisateurs réutilisent le même mot de passe et que le changement de mot de passe puisse se faire avec la commande chpasswd (on utilise un script)
les exemples que je trouve sur le web ne fonctionnent pas du tout, ou bien pas comme il faut (par exemple ça va bien retourner que le mot de passe a déjà été utilisé (avec remember=xx), mais ça ne refuse pas pour autant de le mettre à jour)
l'argument 'use_authtok pose des problèmes lorsque je cherche à l'utiliser avec le module pam_unix.so:
chpasswd: pam_chauthtok() failled, error Authentication token manipulation error
auriez-vous un exemple de /etc/pam.d/common-password qui fonctionne pour de vrai avec unbuntu 18.04?
merci pour votre attention _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
On 6/25/21 3:53 PM, Pierre Blanchet wrote:
Il est déconseillé d'utiliser pam_unix pour stocker l'historique des mots de passe (car il n'utilise que du MD5), il vaut mieux passer par pam_pwhistory (qui utiliser SHA512)
Les détails pour le mettre en place: https://askubuntu.com/a/1310313 https://askubuntu.com/a/1310313
Pierre.
merci Pierre
cette solution me dit bien que le mot de passe à déjà été utilisé, mais ça l'accepte aussi.
je ne parviens pas à faire en sorte que ça refuse le mot de passe si il a déjà été utilisé. le fichier /etc/security/opaswd existe bien
voici mon /etc/pam.d/common-password (mais au moins ça ne retourne pas d'erreur "Authentication token manipulation error"):
# here are the per-package modules (the "Primary" block)
password required pam_pwhistory.so remember=7 password [success=1 default=ignore] pam_unix.so obscure sha512 use_authtok
#password [success=1 default=ignore] pam_unix.so obscure sha512 # here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block) # end of pam-auth-update config
Bonsoir,
25 juin 2021, 16:37 de err404@free.fr:
cette solution me dit bien que le mot de passe à déjà été utilisé, mais ça l'accepte aussi.
Bien entendu, t'es certain de ne pas être root/utiliser des droits privilégiés à ce moment-là ? Parce que sinon, il faut penser en plus à la directive `enforce_for_root`...
le fichier /etc/security/opaswd existe bien
Vu que t'as indiqué que le mot de passe passé était bien reconnu, je suppose que le nom de ton fichier est correct : /etc/security/opasswd (avec 2 's').
voici mon /etc/pam.d/common-password (mais au moins ça ne retourne pas d'erreur "Authentication token manipulation error"):
# here are the per-package modules (the "Primary" block)
password required pam_pwhistory.so remember=7 password [success=1 default=ignore] pam_unix.so obscure sha512 use_authtok
#password [success=1 default=ignore] pam_unix.so obscure sha512 # here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block) # end of pam-auth-update config
A toutes fins utiles, voici donc le mien (je suis sur Debian 10 par contre, pas Ubuntu 18.04 comme toi) :
# here are the per-package modules (the "Primary" block) password requisite pam_pwquality.so retry=3 enforce_for_root password requisite pam_pwhistory.so use_authtok enforce_for_root remember=400 password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512
# here's the fallback if no module succeeds password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around password required pam_permit.so
# and here are more per-package modules (the "Additional" block) password optional pam_gnome_keyring.so
# end of pam-auth-update config
Bonne soirée, l0f4r0
On 6/25/21 11:05 PM, l0f4r0--- via FRsAG wrote:
Bien entendu, t'es certain de ne pas être root/utiliser des droits privilégiés à ce moment-là ? Parce que sinon, il faut penser en plus à la directive `enforce_for_root`...
ah merci, je vais vérifier ce point. (j'ai testé en root, mais en principe le script que j'utilise ne s'executera pas avec les droits root)
et merci aussi pour ton fichier de config
-
err404@free.fr -
l0f4r0@tuta.io -
Pierre Blanchet