Solução de dois passos:
-
Não permita que os usuários criem senhas fracas. Você pode fazer isso parcialmente com pam_unix.so com uma linha como em sua configuração pam (presumivelmente em
/etc/pam.d/common-password
ou similar) (obscuro e minlen = 9 ajudará um pouco):password [success=1 default=ignore] pam_unix.so obscure minlen=9 sha512
ou instale um verificador de senhas mais sofisticado no PAM (como o pam-cracklib, que verifica a força da senha, pode verificar senhas em relação a dicionários etc., sempre que um usuário tentar alterar sua senha.). -
Se você permitiu anteriormente senhas fracas, solicite que todas as senhas sejam alteradas no próximo login. Veja
man shadow
para definir a senha definindo a data da última alteração de senha para0
, pois você não precisa editar/etc/shadow
diretamente - você pode fazer isso comsudo chage -d 0 $USERNAME
(ou usesudo passwd -e $USERNAME
). Se você quiser expirar todas as senhas e todos tiverem um diretório com seu nome de usuário em/home
, você pode fazer:sudo su cd /home for USERNAME in *; do chage -d 0 $USERNAME ; done