linux修改密码策略

linux修改密码策略对于用户账户的管理是系统管理员最重要的工作之一。尤其是,对于任何自称安全的linux系统,最受关心的应该是密码安全问题。在本教程中,我将介绍如何在linux上设置严密的密码策略。我假设你的linux系统是最近的linux发行版,那么你正在使用的应该是PAM(可插拔认证模块)。**1.准备**安装一个PAM模块来启用cracklib支持,这可以提供额外的密码检查功能。在Debin,Ubuntu或者LinuxMint使用命令:sudoapt-getinstalllibpam-crackli

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

对于用户账户的管理是系统管理员最重要的工作之一。尤其是,对于任何自称安全的linux系统,最受关心的应该是密码安全问题。在本教程中,我将介绍如何在linux上设置严密的密码策略。

我假设你的linux系统是最近的linux发行版,那么你正在使用的应该是PAM(可插拔认证模块)。

**

1.准备

**
安装一个PAM模块来启用cracklib支持,这可以提供额外的密码检查功能。
在Debin,Ubuntu或者Linux Mint使用命令:
sudo apt-get install libpam-cracklib
这个模块在CentOS,Fedora或者RHEL默认安装了。所以在这些系统上就没有必要安装了。

如要强制执行密码策略,我们需要修改/etc/pam.d这个与身份验证相关的文件。这个文件会在修改后立即生效。

请注意,本教程中的密码规则只有在非root用户更改密码时强制执行。

2.避免重复使用旧密码

寻找同时包含“password”和”pam_unix.so”的行,然后再这行后面加上“remember=5”。这将防止5个最近使用过的密码被用来设置为新密码(通过将它们存放在/etc/security/opasswd文件中)。
在Debin,Ubuntu或者Linux Mint使用命令:

sudo vi /etc/pam.d/common-password
修改内容:

password    [success=1 default=ignore]    pam_unix.so obscure sha512 remember=5  

在Fedora,CentOS或RHEL使用命令:

sudo  vi  /etc/pam.d/system-auth  

修改内容:

password   sufficient   pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5  

3.设置最小密码长度

寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“minlen=10”。这将强行设置密码的最小密码长度为10位,其中<# of types>多少个不同类型的字符在密码中使用。有四种符号类型(大写、小写、数字和符号)。所以如果使用所有四种类型的组合,并指定最小长度为10,所允许的简单密码部分将是6位。
在Debin,Ubuntu或者Linux Mint使用命令:

sudo  vi  /etc/pam.d/common-password  

修改内容:

password   requisite    pam_cracklib.so retry=3 minlen=10 difok=3  

在Fedora,CentOS或RHEL使用命令:

sudo  vi  /etc/pam.d/system-auth  

修改内容:

password   requisite   pam_cracklib.so retry=3 difok=3 minlen=10  

4.设置密码复杂度

寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。
在Debin,Ubuntu或者Linux Mint使用命令:

sudo  vi  /etc/pam.d/common-password  

修改内容:

 password   requisite    pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1  

在Fedora,CentOS或RHEL使用命令:

sudo  vi  /etc/pam.d/system-auth  

修改内容:

password   requisite   pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 

5.设置密码的有效期

要设置当前密码的最大有效期,就修改/etc/login.defs文件的下列变量:

 sudo  vi  /etc/login.def  

修改内容:

PASS_MAX_DAYS     150  
PASS_MIN_DAYS     0  
PASS_WARN_AGE     7  

这将迫使每一位用户每半年更改一次他们的密码,并且在密码过期之前七天发送密码过期还有几天到等等的警告信息给用户(到最后甚至在用户开机登录时强制用户更改密码,不然无法进入系统(个人在linux程序设计中看到的知识,非原作者观点))。如果你想基于不同的用户使用密码期限功能,那就使用chage命令。要查看针对特别用户的密码过期策略使用的命令如下:

 sudo  chage -l  xmodulo   

注意:xmodule是原作者在linux系统中使用的用户名。

默认设置中,用户的密码是不会过期的。
为用户的xmodulo更改有限期限的命令如下:

 sudo chage -E 6/30/2014 -m 5 -M 90 -I 30 -W 14 用户名

以上命令将密码设置为在2014年6月30日过期。并且,密码更改时间间隔的最大/最小数量分别为5和90。在一个密码过期后,这个账号将被锁30天。在密码过期前14天,警告信息就会发送到对应的账户。

参数详解:
LINUX密码策略设置指引
LINUX设置密码复杂度的文件/etc/pam.d/system-auth
密码复杂度
找到同时有 “password” 和 “pam_cracklib.so” 的那行,
尝试密码输错次数(retry), 密码不同字符次数(difok), 密码最短长度(minlen),必须至少包含大写字母次数(ucredit),必须至少包含小写字母次数(lcredit),必须至少包含数字次数(dcredit)和必须至少包含标点符号次数(ocredit),enforce_for_root
表示对root用户生效。
代码如下:

 $ sudo vi /etc/pam.d/system-auth

修改:

password    requisite     pam_cracklib.so try_first_pass retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 enforce_for_root

禁止使用旧密码
找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下面)。
代码如下:

$ sudo vi /etc/pam.d/system-auth 

修改如下:

 password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5

设置密码过期期限
编辑 /etc/login.defs 文件,可以设置当前密码的有效期限,具体变量密码最大有效期(PASSMAXDAYS),两次修改密码的最小间隔时间(PASSMINDAYS),密码过期前多少天开始提示(PASSWARNAGE) 如下所示:
代码如下:
$ sudo vi /etc/login.defs

PASSMAXDAYS 150 PASSMINDAYS 0 PASSWARNAGE 7
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/196745.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 安装pycharm教程最新版激活_Mac序列号

    安装pycharm教程最新版激活_Mac序列号激活码+汉化+Python安装包汉化下载汉化包resources_en.jar找到Pycharm,右键点击显示包内容,把resources_en.jar拷贝到/Applications/PyCharmCE.app/Contents/lib/里面重启Pycharm激活目前比较好用的Python开发工具是PyCharm,但是正版软件需要购买,要不然只能试…

  • Kong Api 初体验

    Kong Api 初体验转载请标明出处:https://blog.csdn.net/forezp/article/details/79383631本文出自方志朋的博客Kong是一个可扩展的开源API层(也称为API网关或API中间件)。Kong运行在任何RESTfulAPI的前面,并通过插件扩展,它们提供超出核心平台的额外功能和服务。Kong最初是在Mashape建立的,用于为其AP…

  • 一码中_amp是什么意思

    一码中_amp是什么意思每日一码将每天看到的优秀的代码或者特别的实现,记录下来a&b赋值问题_2019218_Q&Aa.x//这时a.x的值是多少?b.x//这时b.x的值是多少

  • 进程调度算法c语言实现_进程调度算法有哪些

    进程调度算法c语言实现_进程调度算法有哪些对一个非抢占式多道批处理系统采用以下算法的任意两种,实现进程调度,并计算进程的开始执行时间,周转时间,带权周转时间,平均周转时间,平均带权周转时间1.先来先服务算法2.短进程优先算法*3.高响应比优先算法三、设计思想每个进程有一个进程控制块(PCB)表示。进程控制块可以包含如下信息:进程名、优先数、到达时间、需要运行时间、已用CPU时间、进程状态等等。进程的优先数及需要的运行时间…

  • 完美者常用软件光盘2008

    完美者常用软件光盘2008下载地址:http://down.wmzhe.com/html/view-9663.htm1.JPG(45.22KB)2007-12-2719:102.JPG(49.8KB)2007-12-2719:103.JPG(44.11KB)2007-12-2719:1044.JPG(55.81KB)2007-1

  • 完全合并C++面试题

    完全合并C++面试题

    2021年12月31日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号