Linux中密碼原則

標籤：password   linux   密碼   

需完成如下設定：

1、密碼必須符合複雜度要求，字母、數字、特殊字元組成。長度大於8位。
2、密碼定期更改，最長不超過90天。
3、使用者不能重複使用5次內已使用的口令。

4、嘗試登陸失敗錯誤次數，必須設定不能超過5次，超過5次後，暫時鎖定20分鐘或以上。 

安裝 PAM 的 cracklib 模組，cracklib 能提供額外的密碼檢查能力

1、密碼必須符合複雜度要求，字母、數字、特殊字元組成。長度大於8位。

修改檔案：/ect/pam.d/system-auth，找到同時有 “password” 和 “pam_cracklib.so” 欄位

password    requisite     pam_cracklib.so retry=3 difok=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1

2、密碼定期更改，最長不超過90天。

設定檔中 /etc/login.defs 修改設定檔：

PASS_MAX_DAYS   90 

PASS_MIN_DAYS   0 

PASS_MIN_LEN    5 

PASS_WARN_AGE   7

通過chage -l xxx(使用者名稱)  查看定期修改的時間

3、使用者不能重複使用5次內已使用的口令。

修改檔案：/ect/pam.d/system-auth，找到同時有 “password” 和 “pam_unix.so” 欄位

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remeber=5

通過/etc/security/opasswd中查看禁止使用近期用過的5個密碼

4、嘗試登陸失敗錯誤次數，必須設定不能超過5次，超過5次後，暫時鎖定20分鐘或以上。 

查看系統中是否含有pam_tally2.so模組，如果沒有，則需要使用pam_tally.so模組

find /lib* -iname "pam_tally2.so"  

find /lib* -iname "pam_tally.so"

在設定檔中/etc/pam.d/sshd中的第二行，如下新增內容

auth       required     pam_tally2.so deny=5 unlock_time=1200

查看使用者錯誤登陸次數：

pam_tally2 --user xxx (使用者名稱)

pam_cracklib.so比較重要和難於理解的是它的一些參數和計數方法，其常用參數包括： 　　

debug：將調試資訊寫入日誌；

type=xxx：當添加/修改密碼時，系統給出的預設提示符是“New UNIX password:”以及“Retype UNIX

password:”，而使用該參數可以自訂輸入密碼的提示符，比如指定type=your own word；

retry=N：定義登入/修改密碼失敗時，可以重試的次數；

Difok=N：定義新密碼中必須有幾個字元要與舊密碼不同。但是如果新密碼中有1/2以上的字元與舊密碼不同時，該新密碼將被接受；

minlen=N：定義使用者密碼的最小長度；

dcredit=N：定義使用者密碼中必須包含多少個數字；

ucredit=N：定義使用者密碼中必須包含多少個大寫字母；

lcredit=N：定義使用者密碼中必須包含多少個小些字母；

ocredit=N：定義使用者密碼中必須包含多少個特殊字元（除數字、字母之外）；

本文出自 “天天向上goto” 部落格，請務必保留此出處http://ttxsgoto.blog.51cto.com/4943095/1633179

Linux中密碼原則