Verificare che la password root soddisfi i requisiti aziendali di complessità delle password.

È necessario controllare la complessità della password root perché per l'utente root non viene eseguito il controllo di complessità della password del modulo pam_cracklib, applicato agli account utente.

La password dell'account deve iniziare con $6$, che indica un hash sha512. Questo è l'hash standard per tutte le appliance con protezione avanzata.

Procedura

  1. Per verificare l'hash della password root, accedere come root ed eseguire il comando # more /etc/shadow.

    Vengono visualizzate le informazioni dell'hash.

    Figura 1. Risultati hash password
    Risultati hash password
  2. Se la password root non contiene un hash sha512, eseguire il comando passwd per modificarla.

Risultati

Tutte le appliance con protezione avanzata abilitano enforce_for_root per il modulo pw_history, che si trova nel file /etc/pam.d/common-password. Per impostazione predefinita, il sistema ricorda le ultime cinque password. Le password precedenti di ciascun utente vengono memorizzate nel file /etc/securetty/passwd.