永发信息网

如何在 Linux 上设置密码策略

答案:1  悬赏:30  手机版
解决时间 2021-03-06 18:06
如何在 Linux 上设置密码策略
最佳答案
1.准备 安装一个PAM模块来启用cracklib支持,这可以提供额外的密码检查功能。 在Debin,Ubuntu或者Linux Mint使用命令:sudo apt-get install libpam-cracklib 这个模块在CentOS,Fedora或者RHEL默认安装了。所以在这些系统上就没有必要安装了。 如要强制执行密码策略,我们需要修改/etc/pam.d这个与身份验证相关的文件。这个文件会在修改后立即生效。 请注意,本教程中的密码规则只有在非root用户更改密码时强制执行。 2.避免重复使用旧密码 寻找同时包含“password”和"pam_unix.so"的行,然后再这行后面加上“remember=5”。这将防止5个最近使用过的密码被用来设置为新密码(通过将它们存放在/etc/security/opasswd文件中)。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password 修改内容:password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5 在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth 修改内容:password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 3.设置最小密码长度 寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“minlen=10”。这将强行设置密码的最小密码长度为10位,其中<# of types>多少个不同类型的字符在密码中使用。有四种符号类型(大写、小写、数字和符号)。所以如果使用所有四种类型的组合,并指定最小长度为10,所允许的简单密码部分将是6位。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password 修改内容:password requisite pam_cracklib.so retry=3 minlen=10 difok=3 在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth 修改内容:password requisite pam_cracklib.so retry=3 difok=3 minlen=10 4.设置密码复杂度 寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。 在Debin,Ubuntu或者Linux Mint使用命令:sudo vi /etc/pam.d/common-password 修改内容:password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 在Fedora,CentOS或RHEL使用命令:sudo vi /etc/pam.d/system-auth 修改内容:password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 5.设置密码的有效期 要设置当前密码的最大有效期,就修改/etc/login.defs文件的下列变量:sudo vi /etc/login.def 修改内容:PASS_MAX_DAYS 150 PASS_MIN_DAYS 0 PASS_WARN_AGE 7 这将迫使每一位用户每半年更改一次他们的密码,并且在密码过期之前七天发送密码过期还有几天到等等的警告信息给用户(到最后甚至在用户开机登录时强制用户更改密码,不然无法进入系统(个人在linux程序设计中看到的知识,非原作者观点))。如果你想基于不同的用户使用密码期限功能,那就使用chage命令。要查看针对特别用户的密码过期策略使用的命令如下:sudo chage -l xmodulo 注意:xmodule是原作者在linux系统中使用的用户名。 显示如下:Last password change : Dec 30, 2013 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7 默认设置中,用户的密码是不会过期的。 为用户的xmodulo更改有限期限的命令如下:$ sudo chage -E 6/30/2014 -m 5 -M 90 -I 30 -W 14 xmodulo 以上命令将密码设置为在2014年6月30日过期。并且,密码更改时间间隔的最大/最小数量分别为5和90。在一个密码过期后,这个账号将被锁30天。在密码过期前14天,警告信息就会发送到对应的账户。
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
工商银行高级投诉本人从未办理过信用卡、无缘
爬行动物能够生活在干燥的地面环境上,因为它
石北工业路/S39(路口)地址在什么地方,想过去
在下列关于酶及激素的叙述中,错误的是: A.激
龙口有哪些旅游景点啊?比较好玩的?我想去那逛
在武汉买了房子,但是没武汉户口,可以在武汉
qq炫舞黑色珍珠可以制作那件衣服
与商周同期,我国西南地区成都平原盛行一种独
王祥精品百货批发怎么去啊,有知道地址的么
怎么取消双色球手机短信提醒
女47岁在异地交的社保养老相转回天津可以吗
王侯将相宁有种乎 相 意思
长春光电仪器厂多功能弱视矫正协调器
伊兰园地址在什么地方,想过去办事
c#窗体程序 电子邮件格式必须包含@
推荐资讯
网络用语∶菜鸟、闪、楼主是什么意思
android中的checkBox如何实现单选
中国人寿的万朵玫瑰恋爱险能赚钱吗
微星A68HM-E33 V2怎么样?微星A68HM-E33 V2好
我想申请一套廉租房实物配售,可不知道产权归
mrt是什么文件格式?
mantis问题求助!!!
下列有关突触的正确叙述是:A. 兴奋从轴突传
个人魅力指数up是什么意思
市场上那些卖臭豆腐音响放的那些语音是从哪来
客所思声卡连接手机有杂音而且耳麦一个响一个
为什么外国油画的女人上半身都是裸的?
正方形一边上任一点到这个正方形两条对角线的
阴历怎么看 ?