Password Policy per VMware vSphere 6.x

Published by Lello on

Vediamo in questo articolo come modificare la compessità delle password per tutti gli account di servizio, compreso quello di root.

Cominciamo con il capire cosa rappresentano le classi a cui appartengono i caratteri che compongono una password. Le classi sono 4:

  • lowercase letters;
  • uppercase letters;
  • numbers;
  • special characters

 
La complessità delle password è descritta in questo modo:

min=X1, X2, X3, X4, X5

Vediamo cosa vogliono dire questi valori:

  • X1: lunghezza della password se la password contiene caratteri appartenenti solo ad una classe (solo numeri, solo lettere minuscole, solo lettere maiuscole, solo caratteri speciali);
  • X2: lunghezza della password se la password contiene caratteri appartenenti a 2 classi (numeri e caratteri minuscoli, numeri e caratteri maiuscoli, caratteri maiuscoli e minuscoli senza numeri, caratteri minuscoli e caratteri speciali, …);
  • X3: la password è una frase (tre parole); X3 rappresenta la lunghezza minima di ogni parola (da 8 a 40 caratteri;
  • X4: lunghezza della password se la password contiene caratteri di 3 classi (ad esempio una passphrase composta da caratteri maiuscoli, minuscoli e numeri);
  • X5: lunghezza della password se la password contiene caratteri di 4 (tutte) classi ;

 
Le impostazioni di default sono:

min=disabled,disabled,disabled,7,7

Questo vuol dire che le password devono essere lunghe almeno 7 caratteri e devono contenere caratteri di almeno 3 classi.

Se imposto:

min=8,8,10,7,6

allora:

  • se la password contiene caratteri di una o due classi, deve essere almeno lunga 8 caratteri
  • se è una frase, deve contere parole lunghe almeno 10 caratteri
  • se la password contiene caratteri di 3 classi, deve essere almeno 7 caratteri
  • se la password contiene caratteri di 4 classi, deve essere almeno 6 caratteri

 
Un altro parametro da tenere in considerazione è:

retry=xx

Il significato è molto semplice: rappresenta il numero di prompt che vengono presentati ad un utente se la password che ha inserito non è corretta.

Una volta che decise le policy per le password, possiamo applicare le policy in 2 modi diversi:

  1. Aprire una shell sul nostro server, editare il file /etc/pam.d/passwd e sostituire i valori presenti con quelli che abbiamo scelto; una volta fatta la modifica, scrivere e chiudere il file
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=disabled,disabled,disabled,7,7
password requisite /lib/security/$ISA/pam_passwdqc.so retry=3 min=8,8,10,7,6
  1. aprire la key Security.PasswordQualityControl e sostituire il valore presente con quello da noi scelto:

Una volta applicate le impostazioni, queste sono subito attive, per cui se cerco di modificare, ad esempio, la password di root, questa deve soddisfare i criteri che ho impostato.