1.  PAM

O PAM é uma suíte de bibliotecas compartilhadas que fornecem um modo alternativo de dar autenticação de usuário nos programas. A opção de use pam está ligada por padrão. Portanto os ajustes de PAM no Gentoo Linux são bem razoáveis, mas sempre há espaço para melhorias. Primeiro instale o cracklib.

# emerge cracklib

auth     required pam_unix.so shadow nullok
account  required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=2 ocredit=2 
password required pam_unix.so md5 use_authtok
session  required pam_unix.so

Isto irá adicionar o cracklib que irá verificar que todas as senhas de usuário tenham pelo menos 8 caracteres e contenham um mínimo de 2 dígitos, 2 outros caracteres, e tenham mais de 3 caracteres diferentes da última senha. Isto força o usuário a escolher uma boa senha (política de senhas). Veja a documentação do PAM para mais opções.

auth     required pam_unix.so nullok 
auth     required pam_shells.so
auth     required pam_nologin.so
auth     required pam_env.so
account  required pam_unix.so
password required pam_cracklib.so difok=3 retry=3 minlen=8 dcredit=2 ocredit=2 use_authtok
password required pam_unix.so shadow md5
session  required pam_unix.so
session  required pam_limits.so

Cada serviço não configurado com um arquivo de PAM em /etc/pam.d irá usar as regras em /etc/pam.d/other. Os padrões estão configurados como deny, como devem ser. Mas eu gosto de ter vários registros, motivo pelo qual eu adicionei o pam_warn.so. A última configuração é pam_limits, que é controlado por /etc/security/limits.conf. Veja a (seção do /etc/security/limits.conf) para mais desses ajustes.

auth     required pam_deny.so 
auth     required pam_warn.so 
account  required pam_deny.so 
account  required pam_warn.so 
password required pam_deny.so 
password required pam_warn.so 
session  required pam_deny.so 
session  required pam_warn.so