Standardmässig soll für den vCenter Server root User das Passwort alle 90 Tage geändert werden.
Zusätzlich sind die Password Regeln recht streng.
Für eine unkritische Umgebung kann man diese Einstellungen anpassen.
Über die GUI (https://<vcenterhostname>:5480) kann im Bereich „Administration“ zunächst einmal der Ablaufzeitraum geändert werden. Zudem kann eine email Adresse angegeben werden, an die vor Ablauf des Zeitraums eine Warnung verschickt wird.
Hier kann man auch das aktuelle Passwort ändern.
Der Zeitraum zum Ablauf kann hier komplett deaktiviert werden:
Was über die GUI leider nicht geht, ist die Passwort Regeln zu ändern.
Möchte man beispielsweise die Komplexitätsregeln anpassen, kann man dies nur via CLI tun.
Hierzu ist die Datei /etc/pam.d/system-password anzupassen.
Hier sind mehrere Regeln hinterlegt:
password requisite pam_cracklib.so dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 minlen=6 difok=4 enforce_for_root
password required pam_pwhistory.so debug use_authtok enforce_for_root remember=5
password required pam_unix.so sha512 use_authtok shadow try_first_pass
Die Zeilen werden von oben nach unten abgearbeitet und definieren unterschiedliche Regeln:
Zunächst wird mittels der cracklib die grundsätzliche Passwortregel definiert. Zusätzliche Parameter können der man-page entnommen werden.
Dabei sind folgende Parameter standardmässig aktiv:
| dcredit=-1 | Mindestens eine Zahl |
| ucredit:-1 | Mindestens ein Großbuchstaben |
| lcredit:-1 | Mindestens ein Sonderzeichen |
| minlen=6 | Mindestens sechs Zeichen |
| difok=4 | Mindestanzahl Zeichen, die sich vom alten Passwort unterscheiden müssen. |
| enfoce_for_root | Wird für den Root User erzwungen |
Der nächste Schritt ist mittels der Library pwhistory die Passwort Historie zu speichern.
Hierzu wird zunächst das debugging aktiviert, was ein granulareres Logging erlaubt. Hilft beim Audit-Trail.
Mit use_authtok wird ermöglicht, das bereits eingegebene Passwort zu verwenden, wenn das aktuelle geändert wird. Dadurch entfällt eine zweite Eingabe bei der Passwort Änderung. remember=5 definiert die letzten 5 genutzten Passwörter als ungültig. Möchte man die Passwörter nicht speichern, kann man diesen Wert auf „0“ setzen. enforce_for_root kennen wir schon.
Der letzte Eintrag definiert, wie die Passwörter gespeichert werden. sha512 stellt die Verschlüsselung ein, die in der shadow Datei verwendet wird. Das Wort shadow definiert, dass die Passwörter in /etc/shadow gespeichert werden und nicht in /etc/passwd, um Nutzer und Passwörter zu trennen. Die ist wichtig, da die Datei /etc/passwd von jedermann gelesen werden kann, die /etc/shadow aber nur von root. Mit try_first_pass wird das erste passende Passwort verwendet, welches in der Datei, die von oben nach unten durchgearbeitet wird, für den entsprechenden User gefunden wird.
Comments