文档章节

Linux 控制用户口令安全策略

LionelShen
 LionelShen
发布于 2015/08/07 13:42
字数 828
阅读 113
收藏 1

一、控制用户口令长度、有效期

/etc/login.defs 文件主要是控制密码有效期的文件,密码的复杂度的判断是通过pam模块控制来实现的,具体的模块是pam_cracklib

# vi /etc/login.defs

PASS_MAX_DAYS   99999    #密码最大有效期时间,99999基本上是永久有效,一般可以设置为100天有效,到了100天就不能登录了。
PASS_MIN_DAYS   0            #至少多少天后必须修改口令,一般设置0天,而到了最大有效期后就必须修改口令,否则到期锁定了。
PASS_MIN_LEN    10            #密码最少长度
PASS_WARN_AGE   7           #密码失效前多少天在用户登录时通知用户修改密码

保存  

修改命令

# chage -l test

Last password change                                 : Aug 07, 2015
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

# chage -E 2015-09-01 test   设置test帐户的到期时间为2015年9月1日

# chage -l test
Last password change                                    : Aug 07, 2015
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Sep 01, 2015
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

# chage -M 100 test    设置test用户口令的最大到期时间

# chage -l test
Last password change                                    : Aug 07, 2015
Password expires                                        : Nov 15, 2015
Password inactive                                       : never
Account expires                                         : Sep 01, 2015
Minimum number of days between password change          : 0
Maximum number of days between password change          : 100
Number of days of warning before password expires       : 7

二、控制用户口令复杂度

检查控制密码复杂度软件包是否安装

# rpm -qa|grep cracklib
cracklib-2.8.9-3.3
cracklib-dicts-2.8.9-3.3

# vi /etc/pam.d/system-auth

password    requisite     pam_cracklib.so retry=5 minlen=10 ucredit=-1 lcredit=-3 dcredit=-1 ocredit=-1 dictpath=/usr/share/cracklib/pw_dict 
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    required     pam_deny.so

这里要求最多尝试5次超过锁定,口令长度至少10位,至少1个大写字母,至少3个小写字母,至少1个数字,至少1个特殊字符,不能是字典中常见单词

说明:

retry=5    尝试次数为5次

minlen=10    最少长度10位

ucredit=N:大写字母,N>=0表示最多几个大写字母,N是负数表示至少几个
lcredit=N:小写字母,N>=0表示最多几个小写字母,N是负数表示至少几个
dcredit=N:数字,N>=0表示最多几个数字,N是负数表示至少几个
ocredit=N:特殊字符,N>=0表示最多几个特殊字符,N是负数表示至少几个

三、测试

使用root创建一个普通用户test并设置test的初始口令

注意:root设置普通用户的口令时,也会检测口令长度和复杂度,但是即使不符合要求也可以设置成功,因为root是Linux系统的God。

使用test用户登录,然后通过passwd命令修改自己的口令,此时口令长度、复杂度等等要求就都开始有效了

[test@SIT ~]$ passwd
Changing password for user test.
Changing password for test
(current) UNIX password:
New UNIX password:
BAD PASSWORD: it is based on a dictionary word(提示包含了字典中的单词,过于简单)
New UNIX password:
BAD PASSWORD: it does not contain enough DIFFERENT characters(提示包含了过多重复的字母)
New UNIX password:
BAD PASSWORD: case changes only  (这里提示没有大写字母)



© 著作权归作者所有

共有 人打赏支持
LionelShen
粉丝 74
博文 156
码字总数 92876
作品 0
海淀
程序员
私信 提问
阿里云ECS数据安全闭环增值服务

阿里云ECS数据安全闭环增值服务 • 定期备份数据 • 云监控 • 合理设计安全域 • 安全组规则设置 • RAM子账号权限设置 • 登录口令设置 • 服务器端口安全 • 系统漏洞防护 • 应用漏洞防护...

娜娜去哪了
2018/11/21
0
0
湖北区域服务商分享阿里云ECS上保证数据安全的若干建议

结合客户在使用云服务器的过程中,遇见的一些问题。或者一些对云产品尚不清楚的中小企业,捷讯技术分享一篇关于阿里云数据安全的若干建议。主要从云服务器ECS使用的角度出发,结合相关产品和...

捷讯技术17
2018/09/10
0
0
Linux安全攻略 服务器与网络设备的维护

目前,许多中小用户因业务发展,不断更新或升级网络,从而造成自身用户环境差异较大,整个网络系统平台参差不齐,在服务器端大多使用Linux和Unix的,PC端使用Windows 9X/2000/XP。所以在企业...

范堡
2009/05/07
169
0
Linux系统安全配置基线

一:共享账号检查 配置名称:用户账号分配检查,避免共享账号存在配置要求:1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。操作指...

bxst
2017/07/13
0
0
支付宝为苹果与Linux用户准备无控件支付方案

裸奔与虚拟机时代过去了,现在苹果与Linux用户也能安全又便捷地使用支付宝。即日起,已有安全产品(宝令、数字证书、手机动态口令任一)的用户可在无控件的情况下实现安全的支付,解决了上述...

红薯
2011/08/16
1K
20

没有更多内容

加载失败,请刷新页面

加载更多

容器服务

简介 容器服务提供高性能可伸缩的容器应用管理服务,支持用 Docker 和 Kubernetes 进行容器化应用的生命周期管理,提供多种应用发布方式和持续交付能力并支持微服务架构。 产品架构 容器服务...

狼王黄师傅
昨天
3
0
高性能应用缓存设计方案

为什么 不管是刻意或者偶尔看其他大神或者大师在讨论高性能架构时,自己都是认真的去看缓存是怎么用呢?认认真真的看完发现缓存这一块他们说的都是一个WebApp或者服务的缓存结构或者缓存实现...

呼呼南风
昨天
12
0
寻找一种易于理解的一致性算法(扩展版)

摘要 Raft 是一种为了管理复制日志的一致性算法。它提供了和 Paxos 算法相同的功能和性能,但是它的算法结构和 Paxos 不同,使得 Raft 算法更加容易理解并且更容易构建实际的系统。为了提升可...

Tiny熊
昨天
2
0
聊聊GarbageCollectionNotificationInfo

序 本文主要研究一下GarbageCollectionNotificationInfo CompositeData java.management/javax/management/openmbean/CompositeData.java public interface CompositeData { public Co......

go4it
昨天
3
0
阿里云ECS的1M带宽理解

本文就给大家科普下阿里云ECS的固定1M带宽的含义。 “下行带宽”和“上行带宽” 为了更好的理解,需要先给大家解释个词“下行带宽”和“上行带宽”: 下行带宽:粗略的解释就是下载数据的最大...

echojson
昨天
9
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部