Niveau de sécurité et complexité des mots de passe de l’hôte

Posted on by maxime

Par défaut, ESXi utilise le plug-in pam_passwdqc.so pour définir les règles que les utilisateurs doivent respecter lors de la création de mots de passe, et pour définir le niveau de sécurité des mots de passe.

Pour déterminer les règles de base à appliquer à tous les mots de passe, configurez le plug-in pam_passwdqc.so. Par défaut, ESXi n’impose aucune limitation au niveau du mot de passe racine. Toutefois, lorsque des utilisateurs autres que l’utilisateur racine tentent de changer leurs mots de passe, les mots de passe choisis doivent correspondre aux règles de base définies par pam_passwdqc.so.

Un mot de passe valide doit contenir une combinaison du plus grand nombre possible de classes de caractères. Les classes de caractères comprennent les lettres minuscules, les majuscules, les chiffres et les caractères spéciaux (traits de soulignement ou tirets, par exemple).

Remarque
Lorsque le nombre de classes de caractères est compté, le plug-in ne compte pas les lettres majuscules utilisées en tant que premier caractère du mot de passe, ni les chiffres utilisés en tant que dernier caractère.

Pour configurer la complexité des mots de passe, vous pouvez modifier la valeur par défaut des paramètres suivants :

  • retry correspond au nombre de demandes de nouveau mot de passe à l’utilisateur si le mot de passe n’est pas suffisamment long.
  • N0 représente le nombre de caractères requis pour un mot de passe qui utilise uniquement des caractères provenant d’une seule classe de caractères. Par exemple, le mot de passe ne contient que des lettres minuscules.
  • N1 représente le nombre de caractères requis pour un mot de passe qui utilise des caractères provenant de deux classes de caractères.
  • N2 est utilisé pour les phrases de passe. ESXi nécessite trois mots pour une phrase de passe. Chaque mot doit avoir une longueur comprise entre 8 et 40 caractères.
  • N13 représente le nombre de caractères requis pour un mot de passe qui utilise des caractères provenant de trois classes de caractères.
  • N14 représente le nombre de caractères requis pour un mot de passe qui utilise des caractères provenant de quatre classes de caractères.
  • match représente le nombre de caractères autorisés dans une chaîne de l’ancien mot de passe. Si le plug-in pam_passwdqc.so trouve une chaîne réutilisée de cette longueur ou plus longue, il la supprime du test et utilise uniquement les autres caractères.

Pour avoir un mot de passe simple (majuscule minuscule et chiffre) : retry=3 min=4,4,0,0,0

Vous pouvez modifier les fichiers directement SSH : /etc/pam.d/passwd

Si vous affectez à ces options la valeur -1, cela indique au plug-in pam_passwdqc.so qu’il doit ignorer cette limitation.

Si vous affectez à ces options la valeur disabled, cela indique au plug-in pam_passwdqc.so qu’il doit disqualifier les mots de passe contenant cette caractéristique. Les valeurs utilisées doivent figurer par ordre décroissant, à l’exception de -1 et de disabled.

Remarque
Le plug-in pam_passwdqc.so utilisé dans Linux offre davantage de paramètres que ceux pris en charge pour ESXi.

Pour plus d’informations sur le plug-in pam_passwdqc.so, consultez la documentation Linux.

Sources

Laisser un commentaire