Linux使用者密碼策略

2021-06-03 15:55:22 字數 1952 閱讀 2310

前言:使用linux快三年了,從未想過linux使用者密碼策略,從未把一本linux的書從頭看到尾(上學時的教材除外),故不知書上有無介紹,直到最近參加公司的資訊保安審核會議後才開始考慮linux使用者密碼策略…

系統版本:

red hat enterprise linux as release 4

linux使用者密碼策略

linux使用者密碼的有效期,是否可以修改密碼可以通過login.defs檔案控制.對login.defs檔案修只影響後續建立的使用者,如果要改變以前建立的使用者的有效期等可以使用chage命令.

linux使用者密碼的複雜度可以通過pam pam_cracklib module或pam_passwdqc module控制,兩者不能同時使用. 個人感覺pam_passwdqc更好用.

/etc/login.defs密碼策略

pass_max_days   99999     #密碼的最大有效期, 99999:永久有期

pass_min_days   0          #是否可修改密碼,0可修改,非0多少天後可修改

pass_min_len    5          #密碼最小長度,使用pam_cracklib module,該引數不再有效

pass_warn_age   7         #密碼失效前多少天在使用者登入時通知使用者修改密碼

pam_cracklib主要引數說明:

tretry=n:重試多少次後返回密碼修改錯誤

difok=n:新密碼必需與舊密碼不同的位數

dcredit=n: n >= 0:密碼中最多有多少個數字;n < 0密碼中最少有多少個數字.

lcredit=n:小寶字母的個數

ucredit=n大寶字母的個數

credit=n:特殊字母的個數

minclass=n:密碼組成(大/小字母,數字,特殊字元)

pam_passwdqc主要引數說明:

mix:設定口令字最小長度,預設值是mix=disabled。

max:設定口令字的最大長度,預設值是max=40。

passphrase:設定口令短語中單詞的最少個數,預設值是passphrase=3,如果為0則禁用口令短語。

atch:設定密碼串的常見程式,預設值是match=4。

similar:設定當我們重設口令時,重新設定的新口令能否與舊口令相似,它可以是similar=permit允許相似或similar=deny不允許相似。

random:設定隨機生成口令字的預設長度。預設值是random=42。設為0則禁止該功能。

enforce:設定約束範圍,enforce=none表示只警告弱口令字,但不禁止它們使用;enforce=users將對系統上的全體非根使用者實行這一限制;enforce=everyone將對包括根使用者在內的全體使用者實行這一限制。

non-unix:它告訴這個模組不要使用傳統的getpwnam函式呼叫獲得使用者資訊,

retry:設定使用者輸入口令字時允許重試的次數,預設值是retry=3

密碼複雜度通過/etc/pam.d/system-auth實施

如:要使用pam_cracklib將注釋去掉,把pam_passwdqc.so注釋掉即可.

#password    requisite     /lib/security/$isa/pam_cracklib.so retry=3 difok=1

password    requisite     /lib/security/$isa/pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3

password    sufficient    /lib/security/$isa/pam_unix.so nullok use_authtok md5 shadow

#password    requisite     /lib/security/$isa/pam_cracklib.so retry=3 difok=1

新密碼至少有一位與原來的不同.

Linux使用者密碼策略

linux使用者密碼的有效期,是否可以修改密碼可以通過login.defs檔案控制.對login.defs檔案修只影響後續建立的使用者,如果要改變以前建立的使用者的有效期等可以使用chage命令.linux使用者密碼的複雜度可以通過pam pam cracklib module或pam passwd...

Linux 使用者密碼安全策略

一 etc login.defs檔案 pass max days 90 密碼最大有效期,此處引數pass max days為90,表示90天後,密碼會過期。99999表示永不過期。pass min days 10 兩次修改密碼的最小間隔時間,0表示可以隨時修改賬號密碼 pass min len 8 ...

Ubuntu16 04使用者密碼策略

注意 etc login.defs 是設定使用者帳號限制的檔案。該檔案裡的配置對root使用者無效。etc login.defs 檔案用於在linux建立使用者時,對使用者的一些基本屬性做預設設定,例如指定使用者 uid 和 gid 的範圍,使用者的過期時間,密碼的最大長度,等等。需要注意的是,該檔...