Linux密碼策略

1. 配置文件及說(shuō)明

vi /etc/login.defs
PASS_MAX_DAYS   99999               一個(gè)密碼可使用的最大天數(shù)
PASS_MIN_DAYS   0                   兩次密碼修改之間最小的間隔天數(shù)
PASS_MIN_LEN    5                   密碼最小長(zhǎng)度
PASS_WARN_AGE   7                   密碼過(guò)期前給出警告的天數(shù)

2. 策略案例

  • 一個(gè)密碼可使用的最大天數(shù)

    #強(qiáng)制用戶在過(guò)期前修改他密碼。
PASS_MAX_DAYS   90

  • 兩次密碼修改之間最小的間隔天數(shù)

    #參數(shù)限制兩次修改之間的最少天數(shù)。
PASS_MIN_DAYS   15

  • 密碼過(guò)期前給出警告的天數(shù)

    #控制密碼警告的前置天數(shù),在密碼即將過(guò)期時(shí)會(huì)給用戶警告提示。
PASS_WARN_AGE   10

上面的所有參數(shù)僅對(duì)新賬號(hào)有效,對(duì)已存在的賬號(hào)無(wú)效。

3. 可插拔認(rèn)證模塊

/etc/pam.d/system-auth

4. 認(rèn)證案例

  • 密碼歷史記錄/拒絕重復(fù)使用密碼

    #參數(shù)控制密碼歷史。它記錄曾經(jīng)使用過(guò)的密碼(禁止使用的曾用密碼的個(gè)數(shù))。當(dāng)用戶設(shè)置新的密碼時(shí),它會(huì)檢查密碼歷史,如果他們要設(shè)置的密碼是一個(gè)曾經(jīng)使用過(guò)的舊密碼,將會(huì)發(fā)出警告提示。
password  sufficient  pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5

  • 密碼最小長(zhǎng)度

    #密碼的最小長(zhǎng)度,在密碼設(shè)置交互界面,用戶有3次機(jī)會(huì)重設(shè)密碼,密碼長(zhǎng)度12。
password  requisite   pam_cracklib.so try_first_pass retry=3 minlen=12

  • 最少的大寫(xiě)字母?jìng)€(gè)數(shù)

    #表示密碼中至少需要的大寫(xiě)字母的個(gè)數(shù),設(shè)置密碼(中的大寫(xiě)字母)的最小長(zhǎng)度為1個(gè)字母。
password  requisite  pam_cracklib.so try_first_pass retry=3 minlen=12 ucredit=-1

  • 最少的小寫(xiě)字母?jìng)€(gè)數(shù)

    #表示密碼中至少需要的小寫(xiě)字母的個(gè)數(shù),設(shè)置密碼(中的小寫(xiě)字母)的最小長(zhǎng)度為1個(gè)字母。
password  requisite  pam_cracklib.so try_first_pass retry=3 minlen=12 lcredit=-1

  • 最少的數(shù)字個(gè)數(shù)

    #表示密碼中至少需要的數(shù)字的個(gè)數(shù),設(shè)置為1個(gè)數(shù)字。
password  requisite  pam_cracklib.so try_first_pass retry=3 minlen=12 dcredit=-1

  • 最少的其他字符(符號(hào))個(gè)數(shù)

    #表示密碼中至少需要的特殊符號(hào)的個(gè)數(shù),設(shè)置為1個(gè)字符。
password  requisite  pam_cracklib.so try_first_pass retry=3 minlen=12 ocredit=-1

  • 賬號(hào)鎖定 — 重試

    #控制用戶連續(xù)登錄失敗的最大次數(shù),當(dāng)達(dá)到設(shè)定的連續(xù)失敗登錄次數(shù)閾值時(shí),鎖定賬號(hào),設(shè)置為5次。
auth  required  pam_tally2.so onerr=fail audit silent deny=5
account required pam_tally2.so

  • 賬號(hào)解鎖時(shí)間

    #表示用戶解鎖時(shí)間,如果一個(gè)用戶賬號(hào)在連續(xù)認(rèn)證失敗后被鎖定了,當(dāng)過(guò)了設(shè)定的解鎖時(shí)間后,才會(huì)解鎖,設(shè)置被鎖定中的賬號(hào)的解鎖時(shí)間(900 秒 = 15分鐘)。
auth  required  pam_tally2.so onerr=fail audit silent deny=5 unlock_time=900
account required pam_tally2.so
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容