Mindestlänge des Benutzerpassworts verringern

[Wilhelm14]

Hallo CBler!

Wie kann man die Anforderung für die Passwortlänge ändern? Es geht um Linux Mint 17.2 Mate. Wichtige Zugänge sichere ich mit langen Passwörtern ab. Jetzt habe ich eine Linux Testinstallation und würde aus Komfortgründen gerne ein sehr kurzes Passwort nutzen wie z.B. "asd". Ja, das ist fast ein Luxusproblem, aber "früher" ging das auch. Google brachte mir Dateien, wo die Vorgabe der Passwortlänge enthalten ist. Das bezog sich aber auf ein anderes Linux, bei Mint gab es das nicht oder steht woanders. Dann gab es den Tipp, das Passwort per Konsole zu ändern, das klappt auch nicht.

Habt ihr einen Tipp?

 

[Sephe]

Googlen nach Passwörtlänge+Ubuntu oder Debian.

 

[soyd]

in der "/etc/pam.d/common-password"
den Parameter "minlen=XYZ" anhängen

Gruß

 

[Wilhelm14]

@Sephe: Wie ich im ersten Beitrag schrieb, war ich schon soweit. War aber aber klar, dass im Linux-Bereich so eine Antwort kommt. Herrlich, wenn Klischees bedient werden.

@soyd:
Grob war ich da schon.
https://wiki.ubuntuusers.de/passwd
passwd geht eben nur in den Beschränkungen, die in /etc/pam.d/common-password hinterlegt sind, richtig?

Da hätte ich erwartet, dass die aktuelle Mindestlänge dort hinterlegt ist, hier der Inhalt.

Spoiler

#
# /etc/pam.d/common-password - password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
# used to change user passwords. The default is pam_unix.

# Explanation of pam_unix options:
#
# The "sha512" option enables salted SHA512 passwords. Without this option,
# the default is Unix crypt. Prior releases used the option "md5".
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs.
#
# See the pam_unix manpage for other options.

# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
password [success=1 default=ignore] pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block)
password optional pam_gnome_keyring.so
password optional pam_ecryptfs.so
# end of pam-auth-update config

minlen=3 werde ich mal anhängen. Danke.
Wo ist denn die aktuelle Mindestlänge hinterlegt?

 

[soyd]

"password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=XYZ"

Wo der Defaultwert gespeichert ist weiß ich nicht, wird von irgendeinem pam modul vorher schon geladen.
die "/etc/pam.d/common-password" überschreibt dann halt den default.

http://linux.die.net/man/8/pam_pwquality

 

[Wilhelm14]

Habe jetzt schon vor deinem Beitrag minlen=3 als neue Zeile eingefügt. Im Terminal passwd hat wieder zurückgegeben, dass mein neues Passwort zu kurz sei. Da habe ich den Rechner neugestartet und jetzt kann ich mich gar nicht mehr anmelden. Eigentlich war die Anmeldung ohne Passwort aktiviert, sodass man nur den Namen anklicken musste. Weder das geht noch die Eingabe des Benutzernamens gefolgt vom Passwort. (Ja, habe beide Passwörter probiert, alt und neu.)

Werde jetzt die Datei erneut ändern, so wie du sagst hinter sha=512.

 

[GoofyGaston]

Mit 'sudo passwd BENUTZERNAME' geht es auch nicht?
Ich nutze auch Mint und bei mir kann ich als root beliebige Passwörter vergeben. Habe nichts in der konfig verändert gehabt.

 

[Wilhelm14]

(Musste erst ein Live-Linux finden, das booten wollte, damit ich die Datei zurück ändern kann.)
Ich kann mich wieder anmelden.

Die Datei sieht nun wie folgt aus.

Spoiler

#
# /etc/pam.d/common-password - password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
# used to change user passwords. The default is pam_unix.

# Explanation of pam_unix options:
#
# The "sha512" option enables salted SHA512 passwords. Without this option,
# the default is Unix crypt. Prior releases used the option "md5".
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs.
#
# See the pam_unix manpage for other options.

# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
password [success=1 default=ignore] pam_unix.so obscure sha512 minlen=3
# here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block)
password optional pam_gnome_keyring.so
password optional pam_ecryptfs.so
# end of pam-auth-update config

Im Terminal sudo passwd wirft nun keine Fehlermeldung aus. Es wirkt, als sei das kurze Passwort angenommen. Neugestartet, probiert, das kurze Passwort ist nicht angenommen. Es ist immer noch das lange Passwort aktiv. Über die Benutzerverwaltung erhält man immer noch eine Fehlermeldung, wenn man ein kurzes Passwort wählen möchte. So weit war ich vor zwei Wochen schon.

Edit: Die Passwortlängenvorgabe muss also noch woanders stehen.
Edit 2 @ GoofyGaston: Du kannst als Passwort z.B. mint mit nur vier Zeichen nehmen?

 

[Sephe]

@Sephe: Wie ich im ersten Beitrag schrieb, war ich schon soweit. War aber aber klar, dass im Linux-Bereich so eine Antwort kommt. Herrlich, wenn Klischees bedient werden.

Nix mit Klischees, es geht einfach darum, dass man den Leuten nicht alle Antworten auf dem Silbertablett servieren darf - sonst verdummt man.

Du hast geschrieben, dass du nach der Linux Passwortlänge gesucht hast, es sich aber immer andere Linux-Derivate bezogen hat.

Deshalb mein Hinweis mit Debian / Ubuntu, weil Mint eben auf Ubuntu und grob auf Debian basiert.
Ergo: Alles was du für Debian+Ubuntu gefunden hättest, funktioniert auch bei Mint.

 

[GoofyGaston]

Ja kann ich. Habe zb für die Freundin nur '333' festgelegt. Aber auch das rootpasswort lässt sich auf jeden Fall auf wenige Zeichen festlegen. Bin mir aber nicht mehr sicher, wie ich das genau gemacht habe. Kann ich dir leider erst morgen genau beantworten. Komme heute erst spät heim. Vielleicht musst du dich auch als root im Terminal anmelden - bin mir nicht mehr sicher. Ich nutze 17.1 cinnamon.

 

[Wilhelm14]

Du hast geschrieben, dass du nach der Linux Passwortlänge gesucht hast, es sich aber immer andere Linux-Derivate bezogen hat.

Ich schreibe Linux Mint 17.2 Mate. Das ist nicht präzise genug?

Ergo: Alles was du für Debian+Ubuntu gefunden hättest, funktioniert auch bei Mint.

Funktioniert eben nicht, was ich im ersten Beitrag schon schrieb. Und sehr seltsame Einstellung, meine Dummheit nicht fördern zu wollen, indem du mir die Lösung nicht nennst.

Ist meine /etc/pam.d/common-password so richtig? So klappt es nicht.
sudo passwd gibt zwar keine Fehlermeldung aus, das Passwort ist danach aber immer noch das alte lange.

 

[GoofyGaston]

Habe es jetzt gerade nochmal getestet. Bei mir funktioniert es mit sudo passwd BENUTZERNAME ohne Probleme - egal wie kurz das Passwort ist. Meine common-password schaut wie deine im ersten Beitrag aus.
Hier noch ein screen. Wie schaut denn die Terminal ausgabe bei dir aus?

 

[blablub1212]

Da du das ja eh nur zum testen willst, kannst du es auch noch einfacher haben und sudo ohne Passwort erlauben: http://askubuntu.com/questions/192050/how-to-run-sudo-command-with-no-password/443071#443071

 

[Wilhelm14]

@GoofyGaston: Die Ausgabe sieht bei mir genauso aus. Das Passwort ist dennoch nicht das neue kurze, sondern immer noch das alte lange. Es sieht also im ersten Moment so aus, als hätte man im Terminal das Passwort erfolgreich auf das kurze geändert. Dem ist aber nicht so.

@blablub1212: Das gucke ich mir die Tage mal an. Allerdings wollte ich nicht komplett die Rechte verbiegen.

Es ist nur ein Komfortproblem, kein echtes. Bevor ich alles vergurke, bleibe ich bei mint/mintmint statt mint/mint.

 

[blablub1212]

Meine Lösung verbiegt keine Rechte, es schaltet lediglich die Passwortabfrage für sudo ab. Also alle Befehle die du als Root ausführen musst, musst du weiterhin mit sudo cmd ausführen. Das kann man auch punktuell für einzelne Befehle/Scripte bauen. Bei meinem HTPC hab ich das z.B. für sudo shutdown eingerichtet.