linux篇-⽤户密码与登录安全策略设置
⼀、密码安全策略:
密码相关的安全策略,主要是通过 /etc/login.defs 与 pam_cracklib.so 实现的。
/etc/login.defs:只控制了账号密码的有效期和最⼩长度。修改完/etc/login.defs⽂件后,会⽴即⽣效,但是它只对修改后创建的⽤户⽣
效。
pam_cracklib.so:该模块实现了账户密码的复杂度控制。早期⽤的是pam_cracklib.so模块,后来改成⽤pam_pwquality.so了,该模块
完全兼容旧的pam_cracklib.so模块。该模块对应的配置⽂件路径在/etc/pam.d/⽬录下。
1、设置密码的有效期和最⼩长度
/etc/login.defs参数说明:
PASS_MAX_DAYS 90 #密码过期时间,设置90表⽰90天后过期,默认为99999,表⽰永不过期(Ma
ximum number of days a password may be used)PASS_MIN_DAYS 2 #两次修改密码的最⼩间隔时间(Minimum number of days allowed between password changes.)
PASS_MIN_LEN 8 #密码最⼩长度,对于root⽆效(Minimum acceptable password length.)
PASS_WARN_AGE 7 #Number of days warning given before a password expires.
2、设置⽤户密码的复杂度
可执⾏【man pam_cracklib】命令,查看pam_cracklib的相关控制参数说明:
minlen=N #新密码最⼩长度
difok=3 #允许的新、旧密码存在相同字符的个数,默认为5。
dcredit=-3 #新密码中⾄少包含3个数字
lcredit=-3 #新密码中⾄少包含3个⼩写字母
ucredit=-1 #新密码中⾄少包含1个⼤写字母
linux创建新用户和密码ocredit=-1 #新密码中⾄少包含1个其他符合
通常会在下⾯4个⽂件中配置策略:
/etc/pam.d/system-auth:全局限制,会对所有登录⽅式做限制
/etc/pam.d/login:只对本地终端⽤户登录做限制
/etc/pam.d/remote:只对远程telnet做限制
vim /etc/pam.d/sshd:只对ssh登录做限制
⽰例:根据不同的登录⽅式修改相应的⽂件即可,控制参数都是⼀样的。(添加在⽂件第⼆⾏)
#到包含pam_pwquality.so模块的⾏,将原有⾏注释并修改为如下的新配置(要放在⽂件的第⼆⾏,也就是在#%PAM-1.0下⾯的⼀⾏,否则可能会不起作⽤)#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 difok=3 dcredit=-3 lcredit=-3 ucredit=-1 ocredit=-1 ⼆、登录安全策略
登录安全相关的控制策略,主要是通过 pam_tally2.so 模块实现的,⽐如尝试登录失败多少次就锁定⽤户多少分钟。同样,该模块对应的
配置⽂件路径也是在/etc/pam.d/⽬录下。
1、设置⽤户远程登录的安全策略
参数字段说明:
even_deny_root #同时也限制root⽤户;
deny #设置普通⽤户和root⽤户连续错误登陆的最⼤次数,超过最⼤次数,则锁定该⽤户;unlock_time #设定普通⽤户锁定后,多少时间后解锁,单位是秒;
root_unlock_time #设定root⽤户锁定后,多少时间后解锁,单位是秒;
⽰例:登录失败达到3次,就锁定⽤户,普通⽤户锁定1分钟,root⽤户锁定5分钟
auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=300
解锁⽤户:
$ pam_tally2 --user <username> #查看⽤户登录失败次数记录
$ pam_tally2 --user <username> --reset #清空失败次数记录,即解锁⽤户
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论