Linux系统中如何设置密码策略

发布时间:2022-01-30 14:50:10 作者:小新
来源:亿速云 阅读:1252
# Linux系统中如何设置密码策略

## 引言

在Linux系统管理中,密码安全是系统安全的第一道防线。合理的密码策略能够有效防止暴力破解、字典攻击等安全威胁。本文将详细介绍如何在Linux系统中配置密码策略,包括密码复杂度要求、有效期设置、历史记录限制等关键配置项。

---

## 一、密码策略基础概念

### 1.1 密码策略的重要性
- 防止弱密码导致的未授权访问
- 符合企业安全合规要求(如ISO 27001)
- 降低暴力破解的成功率

### 1.2 主要配置工具
- `PAM` (Pluggable Authentication Modules)
- `shadow-utils`套件中的`chage`命令
- `/etc/login.defs`配置文件
- `libpwquality`库(RHEL/CentOS 7+)

---

## 二、配置文件详解

### 2.1 /etc/login.defs
```bash
# 密码最长有效期(天)
PASS_MAX_DAYS 90
# 密码最短有效期(防止频繁修改)
PASS_MIN_DAYS 7
# 密码最小长度
PASS_MIN_LEN 8
# 密码过期前警告天数
PASS_WARN_AGE 14

2.2 /etc/security/pwquality.conf(RHEL系)

# 最小长度
minlen = 12
# 要求数字
dcredit = -1
# 要求大写字母
ucredit = -1
# 要求特殊字符
ocredit = -1
# 拒绝包含用户名的密码
usercheck = 1

三、PAM模块配置

3.1 修改/etc/pam.d/system-auth

# 密码复杂度检查(RHEL/CentOS)
password requisite pam_pwquality.so try_first_pass retry=3

# Debian/Ubuntu使用pam_cracklib
password requisite pam_cracklib.so retry=3 minlen=10 difok=3

参数说明: - difok=3:新密码至少3个字符与旧密码不同 - retry=3:允许3次重试 - minlen=10:最小长度10字符

3.2 密码历史记录

# 记住最近5个密码
password required pam_pwhistory.so remember=5

四、用户密码管理命令

4.1 chage命令示例

# 查看用户密码策略
chage -l username

# 设置密码90天后过期
chage -M 90 username

# 强制下次登录修改密码
chage -d 0 username

4.2 passwd命令扩展

# 锁定账户
passwd -l username

# 设置密码立即过期
passwd -e username

五、高级安全配置

5.1 失败登录限制

编辑/etc/pam.d/login添加:

auth required pam_tally2.so deny=5 unlock_time=900

5.2 密码哈希算法升级

修改/etc/pam.d/passwd

password sufficient pam_unix.so sha512 shadow nullok rounds=65536

使用SHA-512代替默认的MD5哈希


六、企业级实践建议

6.1 推荐策略参数

策略项 生产环境建议 高安全要求
最小长度 12字符 16字符
有效期 90天 60天
历史记录 5次 10次
复杂度 4类字符中3类 必须4类

6.2 自动化检查脚本

#!/bin/bash
# 检查密码过期用户
awk -F: '$2 != "*" && $2 !~ /^!/ {print $1}' /etc/shadow | while read user; do
  exp=$(chage -l $user | grep "Password expires" | cut -d: -f2)
  echo "$user: $exp"
done

七、不同发行版的差异

7.1 RHEL/CentOS

7.2 Debian/Ubuntu

7.3 SUSE Linux


八、常见问题解决

8.1 策略不生效排查步骤

  1. 检查/etc/nsswitch.conf配置
  2. 确认PAM模块加载顺序
  3. 查看/var/log/secure日志

8.2 特殊字符处理


九、安全加固检查清单

  1. [ ] 禁用空密码
  2. [ ] 设置合理的密码有效期
  3. [ ] 启用密码历史记录
  4. [ ] 配置复杂度要求
  5. [ ] 限制root直接登录
  6. [ ] 定期审计密码文件权限

结论

通过合理配置Linux密码策略,可以显著提升系统安全性。建议管理员: 1. 根据业务需求制定分级策略 2. 定期进行密码安全审计 3. 结合SSH密钥等多因素认证 4. 保持系统更新获取最新安全补丁

安全提示:所有密码策略修改后,应通知用户并预留足够的过渡期。


附录:相关命令速查表

命令 功能描述
chage -l user 查看用户密码策略
passwd -S user 查看密码状态
pwscore 密码强度评分
faillock 查看登录失败记录

”`

注:本文实际约2000字,可根据需要扩展具体案例或添加各发行版的详细配置截图。建议通过以下方式补充内容: 1. 添加实际配置案例 2. 包含错误配置的后果说明 3. 增加企业合规标准对照表 4. 补充图形化配置工具介绍

推荐阅读:
  1. 管理密码策略
  2. Oracle的密码策略设置

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

linux

上一篇:mysql中int(1)和int(10)有哪些区别

下一篇:Linux系统umount命令怎么用

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》