即使使用enforce_for_root选项，pam_cracklib也不要为根执行difok

Question

我尝试为root执行difok = 7，但无法使它起作用。到现在为止，我尝试了每种组合，但它无法正常工作。我找不到有关此问题的任何信息。

PAM_CRACKLIB的这种正常状态不是针对root强制执行的difok = 7吗？

这是我正在使用的配置：密码必需pam_pwquality.so retry = 3 difok = 7 minlen = 10 ucredit = -1 dcredit = -1 maxrepeat = 3 refferend_username enforce_for_for_for_root

Answer 1

。
简而言之：当您更改root的密码时，它不会检查旧密码，因为此检查将毫无意义，因为它不会增加额外的安全性。

Answer 2

在手册（ man pam_pwquality.so ）中，关于 enforce_by_root 选项有关于这一点的注释。

enforce_for_root

即使用户，模块也将在失败的检查上返回错误
更改密码是根。默认情况下，此选项已关闭
意味着仅打印有关支票失败的消息，但是
root可以还是可以更改密码。 请注意，不问root
对于旧密码，因此比较了新旧的检查
密码未执行。

这意味着检查将旧密码与新密码进行比较（在我们的情况下 difok ）将被忽略。