2 problemy po ostatniej "dużej" aktualizacji

[Maciej Kędzierski]

Witam.

Po ostatniej większej aktualizacji zauważyłem 2 problemy.

Po zmianie shadow-4.8.1-2 na shadow-4.12.3-3 data zmiany hasła nie 
wyświetla się poprawnie.

# chage -l username
Last password change                                    : %b %d, %Y
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7



Drugie, ważniejsze dla mnie i chyba związane z biblioteką libxcrypt 
(choć mogę się mylić).
System wymusza natychmiastową zmianę hasła jeśli hasło jest wygenerowane 
funkcjami skrótu, słabszymi niż SHA-512.

Hasła w formacie
$1$..... MD5 - wymusza zmianę hasła
$2a$.... Blowfish - wymusza zmianę hasła
$2y$.... Blowfish - wymusza zmianę hasła
$5$..... SHA-256 - wymusza zmianę hasła
$6$..... SHA-512 - to jest OK

Przy próbie logowania na konsoli, czy ssh, wypisuje:

# ssh user at server
(user at server) Password:
(user at server) You are required to change your password immediately 
(administrator enforced).
Changing password for user.
Current password:


Przy próbie logowania np. do dovecot, pisze, że hasło wygasło (Password 
expired), a w logach pojawiają się wpisy zawierające taki ciąg:
pam_acct_mgmt() failed: Authentication token is no longer valid; new one 
required


Jeśli chodzi o pierwszy błąd, to nie jest to jakieś krytyczne, 
rekompilacja starszego shadow-4.8.1 i downgrade do tej wersji rozwiązuje 
(tymczasowo) ten błąd.

Jednak z tym wymuszaniem hasła już robi się problem. Rozumiem, kwestie 
bezpieczeństwa, ale JAK TO OBEJŚĆ, żeby system nie wymuszał zmiany 
takich (starszych) haseł?


Pozdrawiam
Maciek