用户口令复杂度策略设置<<银河麒麟>>

1.密码最长使用天数7天
1）方法一：管理员执行sudo chage -M 7 test    //设置test用户密码最长使用天数为7天
2）方法二：修改/etc/login.defs文件PASS_MAX_DAYS值为７，则以后建立的系统用户其密码最长使用天数7天

2.密码最短使用天数0天
1）方法一：管理员执行sudo chage -m 0 test   //设置test用户密码最短使用天数为0天
2）方法二：修改/etc/login.defs文件PASS_MIN_DAYS值为0,则以后建立的系统用户密码最短使用天数为0天

3.最小密码长度10位
密码中最少数字个数1
密码中最少大写字母个数１
密码中最少小写字母个数1
1）管理员先安装libpam-cracklib包执行
sudo dpkg -i libpam-cracklib_1.1.8-3kord4_arm64.deb
2）再修改/etc/pam.d/common-password文件pam_cracklib.so行改成：
password        requisite        pam_cracklib.so  retry=3 minlen=10 difok=3 dcredit=-1 ucredit=-1 lcredit=-1
说明：1）dcredit针对数字，ucredit针对大写字母，lcredit针对小写字母
      2）负数表示至少的个数，正数表示最多的个数，-1表示至少1位

4.密码出错机会小于等于５次，５次登录失败后锁定10分钟
1）在/etc/pam.d/lightdm-greeter、/etc/pam.d/login和/etc/pam.d/sshd文件中第一行添加以下内容：
auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600 audit
说明：以上文件分别针对图形、本地字符、远程ssh登录情形，密码出错机会小于等于５次，５次登录失败后锁定10分钟

5.设置自动注销时间10分钟
1）情形一：在/etc/profile最后添加：TMOUT=600。该状况是针对字符终端和ssh远程登录有效
2）情形二：对于图形登录的终端窗口注销须要修改用户主目录下的.bashrc文件，增长TMOUT=600。

6.与系统管理员确认没必要要的系统帐号、FTP等服务的帐号，对不须要的帐号进行锁定
usermod --expiredate 1 test   (经过设置test帐户的过时时间为1970年1月2日，实现帐户的注销)


7.限制可以su到root的用户
系统用户中默认sudo用户组和admin用户组的用户能够经过sudo执行任何命令包括su（sudo su）,
因此限制用户加入sudo、admin用户组便可限制可以su到root的用户。
假设系统存在普通用户test，只在test组里；
管理员用户执行sudo usermod -a -G sudo test，将test用户加入sudo组；
管理员用户执行sudo usermod -G test test，将test用户从sudo组移除；