禁止使用过去前13次使用的密码
password requisite pam_pwhistory.so remember=13 use_authtok
在
system-auth
配置文件中,当配置了password requisite pam_pwhistory.so remember=13 use_authtok
时,这表示在用户更改密码时会检查密码历史记录。具体来说:
requisite
关键字表示如果该模块返回失败,则用户的密码更改请求会被拒绝,认证会失败,用户无法更改密码。pam_pwhistory.so
是密码历史记录模块,用于检查新密码是否在密码历史记录中出现过。remember=13
参数表示在密码历史记录中保存最近的13个密码。这意味着用户不能在短期内重复使用之前使用过的密码。use_authtok
参数表示将用户输入的密码作为认证令牌传递给模块,以便模块可以检查该密码是否符合密码历史记录规则。
因此,配置了这一行后,用户在更改密码时会受到密码历史记录的限制,不能使用之前使用过的密码,以增强密码安全性。如果新密码与历史记录中的任何密码重复,用户将无法更改密码。
问题补充
在实际环境中配置password requisite pam_pwhistory.so remember=13 use_authtok
后,执行命令修改本地用户密码报令牌操作错误
。经过测试将配置改为了password requisite pam_pwhistory.so remember=13
,删去了use_authtok
参数,修改后报错消失,并且可以满足禁用前13次历史密码的需求。