Eu estou tentando implementar uma política de senha no Debian 8. Eu tenho o seguinte em /etc/pam.d.common-passowrd:
password requisite pam_cracklib.so difok=2 minlen=8 dcredit=0 ucredit=0 lcredit=0 ocredit=0 minclass=3 reject_username
password requisite pam_echo.so blah blah
password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512
password requisite pam_deny.so
password required pam_permit.so
Após definir uma senha de 15 caracteres com três sequências de 5 caracteres, recebo o seguinte erro:
root@foo-host:~# ssh foo-user@localhost
Last login: Tue Aug 29 11:26:06 2017 from 127.0.0.1
WARNING: Your password has expired.
You must change your password now and login again!
blah blah
Changing password for foo-user.
(current) UNIX password:
New password:
BAD PASSWORD: it is too simplistic/systematic
passwd: Authentication token manipulation error
passwd: password unchanged
Connection to localhost closed.
Eu tentei remover a opção "obscura" para pam_unix e não encontrei diferenças no comportamento.
Minha versão pam_cracklib é a seguinte:
root@foo-host:~# dpkg --list | grep -i crack
ii cracklib-runtime 2.9.2-1 amd64 runtime support for password checker library cracklib2
ii libcrack2:amd64 2.9.2-1 amd64 pro-active password checker library
ii libpam-cracklib:amd64 1.1.8-3.1+deb8u2+b1 amd64 PAM module to enable cracklib support
Por que isso está ocorrendo, dado que eu não especifiquei maxsequence para pam_cracklib?