vCenter 7 root Passwort ändern

Standardmässig soll für den vCenter Server root User das Passwort alle 90 Tage geändert werden.

Zusätzlich sind die Password Regeln recht streng.

Für eine unkritische Umgebung kann man diese Einstellungen anpassen.

Über die GUI (https://<vcenterhostname>:5480) kann im Bereich „Administration“ zunächst einmal der Ablaufzeitraum geändert werden. Zudem kann eine email Adresse angegeben werden, an die vor Ablauf des Zeitraums eine Warnung verschickt wird.

Passwort Anpassungen

Hier kann man auch das aktuelle Passwort ändern.

Der Zeitraum zum Ablauf kann hier komplett deaktiviert werden:

Was über die GUI leider nicht geht, ist die Passwort Regeln zu ändern.

Möchte man beispielsweise die Komplexitätsregeln anpassen, kann man dies nur via CLI tun.

Hierzu ist die Datei /etc/pam.d/system-password anzupassen.

Hier sind mehrere Regeln hinterlegt:

password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 enforce_for_root
password required pam_pwhistory.so debug use_authtok enforce_for_root remember=5
password required pam_unix.so sha512 use_authtok shadow try_first_pass

Die Zeilen werden von oben nach unten abgearbeitet und definieren unterschiedliche Regeln:

Zunächst wird mittels der cracklib die grundsätzliche Passwortregel definiert. Zusätzliche Parameter können der man-page entnommen werden.

Dabei sind folgende Parameter standardmässig aktiv:

dcredit=-1Mindestens eine Zahl
ucredit:-1Mindestens ein Großbuchstaben
lcredit:-1 Mindestens ein Sonderzeichen
minlen=6 Mindestens sechs Zeichen
difok=4Mindestanzahl Zeichen, die sich vom alten Passwort unterscheiden müssen.
enfoce_for_root Wird für den Root User erzwungen

Der nächste Schritt ist mittels der Library pwhistory die Passwort Historie zu speichern.

Hierzu wird zunächst das debugging aktiviert, was ein granulareres Logging erlaubt. Hilft beim Audit-Trail.

Mit use_authtok wird ermöglicht, das bereits eingegebene Passwort zu verwenden, wenn das aktuelle geändert wird. Dadurch entfällt eine zweite Eingabe bei der Passwort Änderung. remember=5 definiert die letzten 5 genutzten Passwörter als ungültig. Möchte man die Passwörter nicht speichern, kann man diesen Wert auf „0“ setzen. enforce_for_root kennen wir schon.

Der letzte Eintrag definiert, wie die Passwörter gespeichert werden. sha512 stellt die Verschlüsselung ein, die in der shadow Datei verwendet wird. Das Wort shadow definiert, dass die Passwörter in /etc/shadow gespeichert werden und nicht in /etc/passwd, um Nutzer und Passwörter zu trennen. Die ist wichtig, da die Datei /etc/passwd von jedermann gelesen werden kann, die /etc/shadow aber nur von root. Mit try_first_pass wird das erste passende Passwort verwendet, welches in der Datei, die von oben nach unten durchgearbeitet wird, für den entsprechenden User gefunden wird.

Comments

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.