1.准备 安装一个PAM模块来启用cracklib支持,这可以提供额外的密码检查功能。 在Debin,Ubuntu或者Linux Mint使用命令:sudo apt-get install libpam-cracklib
这个模块在CentOS,Fedora或者RHEL默认安装了。所以在这些系统上就没有必要安装了。
如要强制执行密码策略,我们需要修改/etc/pam.d这个与身份验证相关的文件。这个文件会在修改后立即生效。
请注意,本教程中的密码规则只有在非root用户更改密码时强制执行。
2.避免重复使用旧密码 寻找同时包含“password”和"pam_unix.so"的行,然后再这行后面加上“remember=5”。这将防止5个最近使用过的密码被用来设置为新密码(通过将它们存放在/etc/security/opasswd文件中)。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password
修改内容:password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5
在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth
修改内容:password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
3.设置最小密码长度 寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“minlen=10”。这将强行设置密码的最小密码长度为10位,其中<# of types>多少个不同类型的字符在密码中使用。有四种符号类型(大写、小写、数字和符号)。所以如果使用所有四种类型的组合,并指定最小长度为10,所允许的简单密码部分将是6位。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password
修改内容:password requisite pam_cracklib.so retry=3 minlen=10 difok=3
在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth
修改内容:password requisite pam_cracklib.so retry=3 difok=3 minlen=10
4.设置密码复杂度 寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password
修改内容:password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth
修改内容:password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
5.设置密码的有效期 要设置当前密码的最大有效期,就修改/etc/login.defs文件的下列变量:sudo vi /etc/login.def
修改内容:PASS_MAX_DAYS 150
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
这将迫使每一位用户每半年更改一次他们的密码,并且在密码过期之前七天发送密码过期还有几天到等等的警告信息给用户(到最后甚至在用户开机登录时强制用户更改密码,不然无法进入系统(个人在linux程序设计中看到的知识,非原作者观点))。如果你想基于不同的用户使用密码期限功能,那就使用chage命令。要查看针对特别用户的密码过期策略使用的命令如下:sudo chage -l xmodulo
注意:xmodule是原作者在linux系统中使用的用户名。 显示如下:Last password change : Dec 30, 2013
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
默认设置中,用户的密码是不会过期的。 为用户的xmodulo更改有限期限的命令如下:$ sudo chage -E 6/30/2014 -m 5 -M 90 -I 30 -W 14 xmodulo
以上命令将密码设置为在2014年6月30日过期。并且,密码更改时间间隔的最大/最小数量分别为5和90。在一个密码过期后,这个账号将被锁30天。在密码过期前14天,警告信息就会发送到对应的账户。
这个模块在CentOS,Fedora或者RHEL默认安装了。所以在这些系统上就没有必要安装了。
如要强制执行密码策略,我们需要修改/etc/pam.d这个与身份验证相关的文件。这个文件会在修改后立即生效。
请注意,本教程中的密码规则只有在非root用户更改密码时强制执行。
2.避免重复使用旧密码 寻找同时包含“password”和"pam_unix.so"的行,然后再这行后面加上“remember=5”。这将防止5个最近使用过的密码被用来设置为新密码(通过将它们存放在/etc/security/opasswd文件中)。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password
修改内容:password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5
在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth
修改内容:password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
3.设置最小密码长度 寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“minlen=10”。这将强行设置密码的最小密码长度为10位,其中<# of types>多少个不同类型的字符在密码中使用。有四种符号类型(大写、小写、数字和符号)。所以如果使用所有四种类型的组合,并指定最小长度为10,所允许的简单密码部分将是6位。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password
修改内容:password requisite pam_cracklib.so retry=3 minlen=10 difok=3
在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth
修改内容:password requisite pam_cracklib.so retry=3 difok=3 minlen=10
4.设置密码复杂度 寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password
修改内容:password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth
修改内容:password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
5.设置密码的有效期 要设置当前密码的最大有效期,就修改/etc/login.defs文件的下列变量:sudo vi /etc/login.def
修改内容:PASS_MAX_DAYS 150
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
这将迫使每一位用户每半年更改一次他们的密码,并且在密码过期之前七天发送密码过期还有几天到等等的警告信息给用户(到最后甚至在用户开机登录时强制用户更改密码,不然无法进入系统(个人在linux程序设计中看到的知识,非原作者观点))。如果你想基于不同的用户使用密码期限功能,那就使用chage命令。要查看针对特别用户的密码过期策略使用的命令如下:sudo chage -l xmodulo
注意:xmodule是原作者在linux系统中使用的用户名。 显示如下:Last password change : Dec 30, 2013
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
默认设置中,用户的密码是不会过期的。 为用户的xmodulo更改有限期限的命令如下:$ sudo chage -E 6/30/2014 -m 5 -M 90 -I 30 -W 14 xmodulo
以上命令将密码设置为在2014年6月30日过期。并且,密码更改时间间隔的最大/最小数量分别为5和90。在一个密码过期后,这个账号将被锁30天。在密码过期前14天,警告信息就会发送到对应的账户。
温馨提示:答案为网友推荐,仅供参考
第1个回答 2018-09-19
根据不同的Linux版本,配置的文件及路径可能不同,一般在/etc/pam.d目录下
如下是arch linux的一个例子,仅作参考:
配置文件为/etc/pam.d/passwd,参考第一行的配置,解释:
pam_cracklib.so #是检查密码的一个安全模块
difok=2 #表示新的密码中与旧密码相比,至少有2个字符不同
minlen=8 #表示密码长度至少8位
dcredit=2 #表示密码中至多包含2位数字
retry=3 #表示密码不符合策略时至多提示3次,超过3次则返回错误
建议根据你自己的Linux版本,查看相应的man帮助文档,进行配置。提醒,修改这些配置风险较高,一旦改错,可能导致无法正常登录系统。
第2个回答 2018-09-19
一般人不会这么详细,望采纳:
=================================================
一:用户密码安全设置:
修改/etc/login.defs
PASS_MAX_DAYS 90 用户的密码不过期最多的天数;
PASS_MIN_DAYS 15 密码修改之间最小的天数;
PASS_MIN_LEN 8 密码最小长度;
PASS_WARN_AGE 10 密码过期之前提醒的天数
=================================================
ssh登陆失败5次锁定用户
vim /etc/pam.d/sshd
vi /etc/pam.d/sshd
auth required pam_tally.so deny=3 unlock_time=900(deny=N为登录失败N次后锁定用户)
清除锁定:pam_tally2 -r -u username
或者:vim /etc/pam.d/login
查看系统审服务是否开启
service auditd status
=================================================
一:用户密码安全设置:
修改/etc/login.defs
PASS_MAX_DAYS 90 用户的密码不过期最多的天数;
PASS_MIN_DAYS 15 密码修改之间最小的天数;
PASS_MIN_LEN 8 密码最小长度;
PASS_WARN_AGE 10 密码过期之前提醒的天数
=================================================
ssh登陆失败5次锁定用户
vim /etc/pam.d/sshd
vi /etc/pam.d/sshd
auth required pam_tally.so deny=3 unlock_time=900(deny=N为登录失败N次后锁定用户)
清除锁定:pam_tally2 -r -u username
或者:vim /etc/pam.d/login
查看系统审服务是否开启
service auditd status
第3个回答 2018-09-19
你好,直接百度搜索即可:
第4个回答 2018-09-19
修改 /etc/login.defs文件
密码有效期
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
密码重试次数
LOGIN_RETRIES 5
相似回答