Pour renforcer la sécurité de mon serveur, j’aimerais pouvoir contrôler le mot de passe de mes utilisateurs (famille et amis). En effet, il n’y a pas de “jauge” ou de contrainte sur le mot de passe défini dans yunohost, et je pense que certains de mes utilisateurs ont un mot de passe par défaut, ou trop simple.
Y’a-t-il un moyen de vérifier si les mots de passe font partie d’une liste établie (par exemple) ? Je n’ai pas trouvé les infos sur le serveur, les comptes ne sont pas dans /etc/shadow ou /etc/passwd… Je les vois seulement via la commande getent passwd
Merci pour vos avis/conseils
EDIT : damn, j’avais zappé le LDAP. Evidemment, ça va se passer par là. Recherches en cours…
Mais cette contrainte n’a pas toujours été là, et ca ne fait cette verification que quand un utilisateur défini ou change son mot de passe. Donc si ton serveur est très vieux, il se peut que des utilisateurs aient un tel mot de passe. Mais pas de moyen simple de le savoir vu qu’on ne dispose que d’une version hashée. Tu peux utiliser JohnTheRipper pour essayer de bruteforce les mots de passe de tes utilisateurs sinon (c’est fait pour ça initialement) mais c’est un peu brutal.
Aussi, les contraintes par defaut sont relativements “simples” pour limiter la frustration. Tu peux avoir envie d’avoir des contraintes plus importantes … Il y a un système de setting pour augmenter ça …
yunohost settings set security.password.user.strength -v [1 2 3 ou 4]