在PAM中设置特定于用户的密码散列轮

Question

在/etc/pam.d/common-password中，我们有一个行，如：

password [success=1 default=ignore] pam_unix.so sha512 rounds=200000

这意味着，每当任何人设置密码时，都要使用200,000轮SHA-512进行散列。这种固有的缓慢哈希通过限制密码测试的速度来防止字典和暴力攻击。

对于某些帐户，我们可能希望更好地保护密码，以牺牲更慢的哈希。比方说，一个管理帐户有50万发，root有80万发。但是，我还没有找到任何方法在PAM中指定这样的每个用户或每个组的策略。这能办到吗？

Answer 1

您可以通过pam_succeed_if模块指定每个用户或每个组的策略。使用“后人”行动 (即整数而不是ok、ignore等)跳过某些用户的password设置。

password [success=1] pam_succeed_if user ne 0
# Setting for root
password [success=1] pam_unix.so sha512 rounds=800000
# Setting for non-root
password [success=ok] pam_unix.so sha512 rounds=200000

(警告:未经测试，我对PAM不太熟悉。)