linux使用者密碼的有效期,是否可以修改密碼可以通過login.defs檔案控制.對login.defs檔案修只影響後續建立的使用者,如果要改變以前建立的使用者的有效期等可以使用chage命令.
linux使用者密碼的複雜度可以通過pam pam_cracklib module或pam_passwdqc module控制,兩者不能同時使用. 個人感覺pam_passwdqc更好用.
/etc/login.defs密碼策略
pass_max_days 99999 #密碼的最大有效期, 99999:永久有期
pass_min_days 0 #是否可修改密碼,0可修改,非0多少天後可修改
pass_min_len 5 #密碼最小長度,使用pam_cracklib module,該引數不再有效
pass_warn_age 7 #密碼失效前多少天在使用者登入時通知使用者修改密碼
pam_cracklib主要引數說明:
tretry=n:重試多少次後返回密碼修改錯誤
difok=n:新密碼必需與舊密碼不同的位數
inlen=n:此選項用來設定新密碼的最小長度。
dcredit=n: n >= 0:密碼中最多有多少個數字;n < 0密碼中最少有多少個數字.
lcredit=n:小寶字母的個數
ucredit=n大寶字母的個數
ocredit=n:特殊字母的個數
minclass=n:密碼組成(大/小字母,數字,特殊字元)
pam_passwdqc主要引數說明:
mix:設定口令字最小長度,預設值是mix=disabled。
max:設定口令字的最大長度,預設值是max=40。
passphrase:設定口令短語中單詞的最少個數,預設值是passphrase=3,如果為0則禁用口令短語。
atch:設定密碼串的常見程式,預設值是match=4。
similar:設定當我們重設口令時,重新設定的新口令能否與舊口令相似,它可以是similar=permit允許相似或similar=deny不允許相似。
random:設定隨機生成口令字的預設長度。預設值是random=42。設為0則禁止該功能。
enforce:設定約束範圍,enforce=none表示只警告弱口令字,但不禁止它們使用;enforce=users將對系統上的全體非根使用者實行這一限制;enforce=everyone將對包括根使用者在內的全體使用者實行這一限制。
non-unix:它告訴這個模組不要使用傳統的getpwnam函式呼叫獲得使用者資訊,
retry:設定使用者輸入口令字時允許重試的次數,預設值是retry=3
密碼複雜度通過/etc/pam.d/system-auth實施 如:
要使用pam_cracklib將注釋去掉,把pam_passwdqc.so注釋掉即可.
#password requisite /lib/security/$isa/pam_cracklib.so retry=3 difok=1
password requisite /lib/security/$isa/pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3
password sufficient /lib/security/$isa/pam_unix.so nullok use_authtok md5 shadow
#password requisite /lib/security/$isa/pam_cracklib.so retry=3 difok=1
新密碼至少有一位與原來的不同.
Linux使用者密碼策略
前言 使用linux快三年了,從未想過linux使用者密碼策略,從未把一本linux的書從頭看到尾 上學時的教材除外 故不知書上有無介紹,直到最近參加公司的資訊保安審核會議後才開始考慮linux使用者密碼策略 系統版本 red hat enterprise linux as release 4 li...
Linux 使用者密碼安全策略
一 etc login.defs檔案 pass max days 90 密碼最大有效期,此處引數pass max days為90,表示90天後,密碼會過期。99999表示永不過期。pass min days 10 兩次修改密碼的最小間隔時間,0表示可以隨時修改賬號密碼 pass min len 8 ...
Ubuntu16 04使用者密碼策略
注意 etc login.defs 是設定使用者帳號限制的檔案。該檔案裡的配置對root使用者無效。etc login.defs 檔案用於在linux建立使用者時,對使用者的一些基本屬性做預設設定,例如指定使用者 uid 和 gid 的範圍,使用者的過期時間,密碼的最大長度,等等。需要注意的是,該檔...