在PAM配置中,`requisite` 和 `sufficient` 关键字具有不同的含义,它们决定了认证过程中模块的角色:
- `requisite`:表示该模块必须成功执行。如果该模块失败,整个认证过程将失败,即使其他模块成功。
- `sufficient`:表示如果该模块成功,它就足够使认证过程成功,即使其他模块失败。但是,如果该模块失败,认证过程将继续,而不是立即失败。
将 `pam_pwquality.so` 的 `requisite` 改为 `sufficient` 意味着密码质量检查将不再是必需的,而是可选的。如果 `pam_pwquality.so` 模块失败,认证过程将不会立即失败,而是继续执行后续的密码模块。
在某些情况下,这可能是可取的,例如,你可能希望即使密码不符合某些质量标准,用户仍然能够登录,以便他们可以更改密码。但是,这可能会降低系统的安全性,因为它允许较弱的密码。
如果你决定进行这种更改,请按照以下步骤操作:
1. 打开 `/etc/pam.d/system-auth` 文件进行编辑:
```sh
sudo nano /etc/pam.d/system-auth
```
2. 找到包含 `pam_pwquality.so` 的行,将其 `requisite` 更改为 `sufficient`:
```plaintext
password sufficient pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
```
3. 保存文件并退出编辑器。
4. 为了使更改生效,你可能需要重启与PAM相关的服务,或者简单地重新启动系统。
请注意,更改PAM配置可能会对系统的安全性和用户认证流程产生重要影响。在进行此类更改之前,请确保你了解其含义,并考虑咨询有经验的系统管理员。此外,确保你的系统配置允许在密码质量不足时采取适当的措施,例如强制用户在下次登录时更改密码。