Linux 控制用户口令安全策略

时间 2019-11-21

标签 linux 控制用户口令安全策略栏目 Linux 繁體版

原文原文链接

1、控制用户口令长度、有效期

/etc/login.defs 文件主要是控制密码有效期的文件，密码的复杂度的判断是经过pam模块控制来实现的，具体的模块是pam_cracklib 测试

# vi /etc/login.defs ui

PASS_MAX_DAYS   99999    #密码最大有效期时间，99999基本上是永久有效，通常能够设置为100天有效，到了100天就不能登陆了。
PASS_MIN_DAYS   0            #至少多少天后必须修改口令，通常设置0天，而到了最大有效期后就必须修改口令，不然到期锁定了。
PASS_MIN_LEN    10            #密码最少长度
PASS_WARN_AGE   7           #密码失效前多少天在用户登陆时通知用户修改密码 spa

保存 unix

修改命令 md5

# chage -l test ci

Last password change                                 : Aug 07, 2015
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7 it

# chage -E 2015-09-01 test 设置test账户的到期时间为2015年9月1日 io

# chage -l test
Last password change                                    : Aug 07, 2015
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Sep 01, 2015
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7 ast

# chage -M 100 test 设置test用户口令的最大到期时间 test

# chage -l test
Last password change                                    : Aug 07, 2015
Password expires                                        : Nov 15, 2015
Password inactive                                       : never
Account expires                                         : Sep 01, 2015
Minimum number of days between password change          : 0
Maximum number of days between password change          : 100
Number of days of warning before password expires       : 7

2、控制用户口令复杂度

检查控制密码复杂度软件包是否安装

# rpm -qa|grep cracklib
cracklib-2.8.9-3.3
cracklib-dicts-2.8.9-3.3

# vi /etc/pam.d/system-auth

password    requisite     pam_cracklib.so retry=5 minlen=10 ucredit=-1 lcredit=-3 dcredit=-1 ocredit=-1 dictpath=/usr/share/cracklib/pw_dict
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    required     pam_deny.so

这里要求最多尝试5次超过锁定，口令长度至少10位，至少1个大写字母，至少3个小写字母，至少1个数字，至少1个特殊字符，不能是字典中常见单词

说明：

retry=5 尝试次数为5次

minlen=10 最少长度10位

ucredit=N：大写字母，N>=0表示最多几个大写字母，N是负数表示至少几个
lcredit=N：小写字母，N>=0表示最多几个小写字母，N是负数表示至少几个
dcredit=N：数字，N>=0表示最多几个数字，N是负数表示至少几个
ocredit=N：特殊字符，N>=0表示最多几个特殊字符，N是负数表示至少几个

3、测试

使用root建立一个普通用户test并设置test的初始口令

注意：root设置普通用户的口令时，也会检测口令长度和复杂度，可是即便不符合要求也能够设置成功，由于root是Linux系统的God。

使用test用户登陆，而后经过passwd命令修改本身的口令，此时口令长度、复杂度等等要求就都开始有效了

[test@SIT ~]$ passwd Changing password for user test. Changing password for test (current) UNIX password: New UNIX password: BAD PASSWORD: it is based on a dictionary word（提示包含了字典中的单词，过于简单） New UNIX password: BAD PASSWORD: it does not contain enough DIFFERENT characters（提示包含了过多重复的字母） New UNIX password: BAD PASSWORD: case changes only （这里提示没有大写字母）