1.1檢查弱口令將被檢查主機(jī)的/etc/shadow文件拷貝出來(lái)

在筆記本電腦上運(yùn)行john the ripper工具檢測(cè)弱口令

檢查用戶名和密碼相同的弱口令

john.exe 'shadow' --single

使用pass.txt字典檢查弱口令

john.exe 'shadow'

--wordlist='pass.txt'

使用 “passwd 用戶名” 命令為用戶設(shè)置復(fù)雜密碼

2.2禁用無(wú)用賬號(hào)

檢查方法

使用命令“cat /etc/passwd”查看口令文件，與系統(tǒng)管理員確認(rèn)不必要的賬號(hào)

FTP等服務(wù)的賬號(hào)，如果不需要登錄系統(tǒng)，shell應(yīng)該/sbin/nologin

加固方法 使用命令“passwd -l <用戶名>”鎖定不必要的賬號(hào)

回退方法 使用命令“passwd -u <用戶名>”解鎖賬號(hào)

2.3賬號(hào)鎖定策略

加固方法

設(shè)置連續(xù)輸錯(cuò)10次密碼，帳號(hào)鎖定5分鐘，

使用命令“vi /etc/pam.d/ system-auth”修改配置文件，添加

auth required pam_tally.so onerr=fail deny=10? unlock_time=300

回退方法 使用命令“passwd -u <用戶名>”解鎖賬號(hào)

2.4密碼設(shè)置策略

詳細(xì)參數(shù)參考：https://www.cnblogs.com/kevingrace/p/5752632.html

1.1查看cat /etc/login.defs??

注釋：

PASS_MAX_DAYS表示密碼最大有效期，建議設(shè)置90天，

PASS_MIN_DAYS表示最短使用天數(shù)，不為0；

PASS_MIN_LEN表示密碼最小長(zhǎng)度，建議設(shè)置最小長(zhǎng)度為8；

PASS_WARN_AGE表示密碼過(guò)期前多少天開(kāi)始告警，建議設(shè)置7天告警；

1.2查看 cat /etc/pam.d/system-auth

找到pam cracklib.so表示密碼復(fù)雜度，建議至少8位，包含一位大寫字母，一位小寫字母和一位數(shù)字。

type=xxx????? 當(dāng)添加/修改密碼時(shí)，系統(tǒng)給出的缺省提示符是什么，用來(lái)修改缺省的密碼提示文本。默認(rèn)是不修改的，如上例。

minlen=8????? 定義用戶密碼的最小長(zhǎng)度為8位

ucredit=-2??? 定義用戶密碼中最少有2個(gè)大寫字母??? （數(shù)字為負(fù)數(shù)，表示至少有多少個(gè)大寫字母；數(shù)字為正數(shù)，表示至多有多少個(gè)大寫字母；下面同理）

lcredit=-4??? 定義用戶密碼中最少有4個(gè)小寫字母

dcredit=-1??? 定義用戶密碼中最少有1個(gè)數(shù)字

ocredit=-1??? 定義用戶密碼中最少有1個(gè)特殊字符（除數(shù)字、字母之外）

remember=5??? 修改用戶密碼時(shí)最近5次用過(guò)的舊密碼就不能重用了

type= minlen=8 ucredit=-1 lcredit=-1 dcredit=-1