您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
# Linux系统中如何设置密码策略
## 引言
在Linux系统管理中,密码安全是系统安全的第一道防线。合理的密码策略能够有效防止暴力破解、字典攻击等安全威胁。本文将详细介绍如何在Linux系统中配置密码策略,包括密码复杂度要求、有效期设置、历史记录限制等关键配置项。
---
## 一、密码策略基础概念
### 1.1 密码策略的重要性
- 防止弱密码导致的未授权访问
- 符合企业安全合规要求(如ISO 27001)
- 降低暴力破解的成功率
### 1.2 主要配置工具
- `PAM` (Pluggable Authentication Modules)
- `shadow-utils`套件中的`chage`命令
- `/etc/login.defs`配置文件
- `libpwquality`库(RHEL/CentOS 7+)
---
## 二、配置文件详解
### 2.1 /etc/login.defs
```bash
# 密码最长有效期(天)
PASS_MAX_DAYS 90
# 密码最短有效期(防止频繁修改)
PASS_MIN_DAYS 7
# 密码最小长度
PASS_MIN_LEN 8
# 密码过期前警告天数
PASS_WARN_AGE 14
# 最小长度
minlen = 12
# 要求数字
dcredit = -1
# 要求大写字母
ucredit = -1
# 要求特殊字符
ocredit = -1
# 拒绝包含用户名的密码
usercheck = 1
# 密码复杂度检查(RHEL/CentOS)
password requisite pam_pwquality.so try_first_pass retry=3
# Debian/Ubuntu使用pam_cracklib
password requisite pam_cracklib.so retry=3 minlen=10 difok=3
参数说明:
- difok=3
:新密码至少3个字符与旧密码不同
- retry=3
:允许3次重试
- minlen=10
:最小长度10字符
# 记住最近5个密码
password required pam_pwhistory.so remember=5
# 查看用户密码策略
chage -l username
# 设置密码90天后过期
chage -M 90 username
# 强制下次登录修改密码
chage -d 0 username
# 锁定账户
passwd -l username
# 设置密码立即过期
passwd -e username
编辑/etc/pam.d/login
添加:
auth required pam_tally2.so deny=5 unlock_time=900
修改/etc/pam.d/passwd
:
password sufficient pam_unix.so sha512 shadow nullok rounds=65536
使用SHA-512代替默认的MD5哈希
策略项 | 生产环境建议 | 高安全要求 |
---|---|---|
最小长度 | 12字符 | 16字符 |
有效期 | 90天 | 60天 |
历史记录 | 5次 | 10次 |
复杂度 | 4类字符中3类 | 必须4类 |
#!/bin/bash
# 检查密码过期用户
awk -F: '$2 != "*" && $2 !~ /^!/ {print $1}' /etc/shadow | while read user; do
exp=$(chage -l $user | grep "Password expires" | cut -d: -f2)
echo "$user: $exp"
done
authconfig
或authselect
工具pam_pwquality
pam_cracklib
模块libpam-pwquality
启用新策略/etc/security/pam_pwcheck.conf
YaST
图形化配置工具/etc/nsswitch.conf
配置/var/log/secure
日志\!@#
通过合理配置Linux密码策略,可以显著提升系统安全性。建议管理员: 1. 根据业务需求制定分级策略 2. 定期进行密码安全审计 3. 结合SSH密钥等多因素认证 4. 保持系统更新获取最新安全补丁
安全提示:所有密码策略修改后,应通知用户并预留足够的过渡期。
命令 | 功能描述 |
---|---|
chage -l user |
查看用户密码策略 |
passwd -S user |
查看密码状态 |
pwscore |
密码强度评分 |
faillock |
查看登录失败记录 |
”`
注:本文实际约2000字,可根据需要扩展具体案例或添加各发行版的详细配置截图。建议通过以下方式补充内容: 1. 添加实际配置案例 2. 包含错误配置的后果说明 3. 增加企业合规标准对照表 4. 补充图形化配置工具介绍
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。