Desativar logins do ssh com senhas fracas

Solução de dois passos:

1. Não permita que os usuários criem senhas fracas. Você pode fazer isso parcialmente com pam_unix.so com uma linha como em sua configuração pam (presumivelmente em /etc/pam.d/common-password ou similar) (obscuro e minlen = 9 ajudará um pouco):

   password [success=1 default=ignore] pam_unix.so obscure minlen=9 sha512
   

   ou instale um verificador de senhas mais sofisticado no PAM (como o pam-cracklib, que verifica a força da senha, pode verificar senhas em relação a dicionários etc., sempre que um usuário tentar alterar sua senha.).

2. Se você permitiu anteriormente senhas fracas, solicite que todas as senhas sejam alteradas no próximo login. Veja man shadow para definir a senha definindo a data da última alteração de senha para 0 , pois você não precisa editar /etc/shadow diretamente - você pode fazer isso com sudo chage -d 0 $USERNAME (ou use sudo passwd -e $USERNAME ). Se você quiser expirar todas as senhas e todos tiverem um diretório com seu nome de usuário em /home , você pode fazer:

   sudo su
   cd /home
   for USERNAME in *; do chage -d 0 $USERNAME ; done
   

Você precisa de um cracklib e PAM-cracklib para resolver seu caso. A ideia é que o SSH use o PAM, e a senha será examinada de forma transparente e segura. Dê uma olhada no último link que eu forneci - ele contém um ótimo tutorial, não tenho nada a acrescentar a ele

Não, ele não seria capaz de fazer isso.

A senha é armazenada apenas como um "hash" em / etc / shadow-. Então, o administrador não sabe como as senhas se parecem.

Assim, ele só pode solicitar a todos os usuários que alterem a senha no próximo login e, em seguida, verificar se ela é boa.