Linux 如何设置密码复杂度?

在Linux系统中定义密码复杂性并确保用户管理安全是系统管理员的重要任务之一。
得益于PAM(可插入身份验证模块)等工具,可以优化密码策略以提高系统安全性。
本文将介绍如何在Linux中实施最坚实的密码策略。
首先,了解默认策略设置是基础知识,您可以通过显示/etc/login.defs文件获得详细信息。
该文件包含用于设置的默认设置,例如密码到期时间和最小密码长度。
通过调整这些参数,可以个性化更安全的密码策略。
定义可以使用密码的最大天数,即表示密码的到期时间,以确保用户在一定时期内修改密码,并避免长时间使用相同密码提供的安全风险。
在 /And/login.defs中设置了9 0天以上。
限制两个密码更改(例如1 5 天)之间的最小天数,以避免频繁的密码更改。
也将在/etc/login.defs中配置。
密码警告日,也就是说,密码到期前的天数,提醒用户修改其密码。
通过修改/etc/login.defs文件中的相应参数来设置1 0天。
密码历史记录的功能限制了用户的持续时间,无法重复使用用于增加密码唯一性的密码。
在/和/pam.d/system-auth中定义密码历史记录。
定义最小密码长度,以确保密码包含足够的字符并提高破裂难度。
在/etc/pam.d/system-auth文件中定义1 2 个最小长度。
其他密码阻力要求,例如确保密码包含大写字母,微小的字母,数字和特殊字符,可以通过/etc/pam.d/system-auth文件进行调整,以确保密码强度。
检查用户的最大连接失败数量,定义帐户锁定机制并提高帐户安全性。
还可以在/etc/pam.d/system-auth中配置。
定义帐户解锁时间,允许用户尝试在一定的延迟内再次连接,并避免在安全检查后立即阻止其帐户。
调整1 5 分钟的解锁时间。
得益于上述参数,可以有效改进Linux系统密码的复杂性,并可以加强用户管理安全性。
为了实施这些密码策略,在配置文件中需要进行详细的调整,以确保系统在具有高安全学位的同时保持有效。

如何设置 Linux 系统的密码策略

要设置Linux密码策略,您可以按照以下步骤操作:设置密码长度:DEB系统:编辑组合文件并将最小密码长度设置为8 或更高。
基于RPM的系统:在Rhel7 .x,Centos7 .x和Scientificlinux7 .x中,使用相应的物质设置密码长度。
在rheel6 .x,centos6 .x和scientificlinux6 .x中,编辑文件/tc/pam.d/systemaaut设置密码长度。
设置密码的复杂性:DEB和RPM系统:编辑编号文件,然后选择必须包含在密码中的大字母,小字母,数字和特殊信件的数量,以确保密码的复杂性。
设置密码健康周期:基于DEB和RPM的系统:编辑编号文件,设置最短和最长的分离以编辑密码,以及密码到期前的警告时间。
禁用最近使用的密码的使用:基于DEB和RPM的系统:编辑配置文件,并设置用户无法再次使用的最近使用的密码,例如最新密码。
Swate内容:配置文件的编辑:这是准备密码策略的关键步骤。
您需要根据系统类型查找和编辑相应的配置文件。
使用订单:在某些RPM系统中,可以使用订单直接设置密码长度。
确保:确定密码的长度是合理的,复杂的,并且禁止使用最近使用的密码可以有效提高Linux密码的安全性。

如何设置 Linux 系统的密码策略

设置Linux系统的密码策略以确保系统的安全性。
本文将介绍如何根据债务和RPM将密码策略放置在Linux系统中,包括密码长度,复杂性,有效时间和禁止最近使用的密码的使用。
将密码长度设置为基于DEB的系统,例如Debian,Ubuntu和LinuxMint,可以通过编辑配置文件来调整密码长度的最小值。
通常,密码长度的最小值以6 个字符放置。
为了提高安全性,最小密码长度应设置为8 或更高。
在基于RPM的系统(例如RHEL,CENTOS和科学)中,可以通过命令放置密码的长度。
For example: In Rhel7 .x, CentOS7 .X and Scienccelinux7 .x, you can use the commands to set the password length and the commands to see the installation is: In Rhel6 .x, CentOS6 .X and CCLINux6 .x, edit the configuration files/ set the complex of password complex in the systems based on the debt, allows you to specify the number of bonds, the letters and other autographs must be given to other autographs You by编辑配置文件。
例如,密码可能至少包含一个大写字母,一个普通字母和一个特殊字符。
将密码复杂性放在基于RPM的系统中,类似于基于债务的系统,这些命令可用于指定必须包含在密码中的大写,常规字母,数字,数字和特殊字符的数量。
基于DEB和RPM设置系统中密码的有效时间,您可以编辑配置文件,以设置修改密码并设置密码到期之前的警告时间的最短时间和最长的时间。
在基于债务的系统中,最近使用的密码被禁止。
您可以编辑配置文件以设置用户无法再次使用的最近使用的密码数量。
例如,您可以将其放入最后5 个密码中。
基于RPM的系统中最近使用的密码使用。
操作类似于DEB系统。
您还可以通过编辑配置文件来设置最近使用的密码数量。
为了通过上述设置合成,可以有效地改进Linux系统密码的密码。
设置合理的密码策略对于维护系统安全很重要。

关于linux系统密码策略的设置

由于最近需要工作,因此公司中的多个Linux服务器需要设置密码策略,因此主要内容是增加密码复杂性。
操作步骤如下。
不认识的学生可以参考:在操作之前,您需要掌握以下简单的知识点:(实际上,可以掌握,但学习没有害处)PAM(PluggableAuthenticationModules)是Sun提出的身份验证机制。
它通过提供一些动态链接库和一个统一的API,将系统提供的服务与服务的身份验证方法分开,以便系统管理员可以根据需要在不更改服务程序的情况下灵活地为不同的服务配置不同的身份验证方法,并促进将新的身份验证方法添加到系统中。
PAM最初集成在Solaris中,并已移植到其他系统,例如Linux,Sunos,HP-UX9 .0等。
PAM的配置通过单个配置文件/ETC/PAM.Conf。
Redhat还支持另一种配置方法,即配置目录/ETC/PAM.D/,优先级高于单个配置文件的优先级。
1 使用配置文件/etc/pam.conf。
该文件由以下行组成:Service-nemeModule-typeControl-flagModule-pathargmodule-pathargumentservice-name服务名称,例如telnet,login,ftp等。
服务名称“其他”代表文件中未明确配置的所有其他服务。
模块类型模块有四种类型:auth,帐户,会话和密码,它们对应于PAM支持的四种管理方法。
相同的服务可以调用多个PAM模块进行身份验证,并且这些模块形成堆栈。
Control-Flag用于告诉PAM库如何处理与服务相关的PAM模块的成功或失败。
它具有四个可能的值:必需,请求,足够,可选。
所需意味着此模块必须在通过身份验证之前返回成功。
但是,如果模块返回故障,则不会立即通知用户。
取而代之的是,它将等到执行同一堆栈中的所有模块,然后再将故障结果返回应用程序。
它可以认为是必要的条件。
必要的类似于所需。
该模块必须返回成功以通过身份验证,但是一旦模块返回失败,同一堆栈中的任何模块都将不再执行,但是控件将直接返回到应用程序。
这是必要的条件。
注意:这仅是Redhat的支持,而不是Solaris的支持。
充分表明该模块的返回足以通过身份身份验证要求。
无需在同一堆栈中执行其他模块,但是如果此模块的返回失败,则可以忽略它。
它可以认为是足够的条件。
可选指示此模块是可选的,并且其成功或故障通常在身份认证中不起作用,并且其返回值通常被忽略。
对于Control-Flag,从Linux-PAM-0.6 3 版本开始,支持新的语法。
有关详细信息,请参阅LinuxPAM文档。
模块路径用于指示与此模块相对应的程序文件的路径名。
它通常使用绝对路径。
如果没有给出绝对路径,则默认文件在目录/usr/lib/security下。
参数是用于传递到模块的参数。
一般而言,每个模块的参数都是不同的,可以由模块本身的开发人员定义,但是也有几个常见参数:调试该模块应使用syslog()将调试信息写入系统日志文件中。
NO_WARN表示该模块不应向应用程序发送警告消息。
use_first_pass表示模块不能提示用户输入密码,但是应使用上一个模块从用户获得的密码。
try_first_pass表示该模块应首先使用上一个模块从用户获得的密码。
如果密码验证失败,将提示用户输入新密码。
use_mapped_pa​​ss此模块无法提示用户输入密码,而是使用映射的密码。
Expose_account允许此模块显示用户的帐户名称和其他信息。
它只能在安全的环境中使用,因为泄漏的用户名将对安全构成一定的威胁。
2 使用configuration directory /etc/pam.d/(仅适用于redhatlinux)此目录中每个文件的名称对应于服务名称,例如ftp服务对应的文件/etc/pam.d/ftp。
如果不存在与名为XXXX的服务相对应的配置文件/etc/pam.d/xxxx,则该服务将使用默认配置文件/etc/pam.d/other。
每个文件是``构成:模块typecontrol-flagModule-patharguments''中的格式中的文本行,每个字段的含义与/etc/pam.conf中的每个字段相同。
由于公司正在使用Redhat的Linux,因此我将使用PAM.D作为配置目录。
密码复杂性是通过/ETC/PAM.D/SYSTEM-AUTH文件实现的。
因此,让我们首先查看什么是默认内容,然后备份此文件:在此文件中,我们将使用pam_cracklib.so模块。
PAM_CRACKLIB.SO是一个常用且非常重要的PAM模块。
该模块的主要功能是检测用户密码的鲁棒性。
也就是说,检查并限制用户定义密码的长度,复杂性和历史记录。
如果密码不符合上述强度,则将被拒绝。
更重要和难以理解的是其一些参数和计数方法。
它的常见参数包括:调试:将调试信息写入日志; type = xxx:添加/修改密码时,系统给出的默认提示符为“ newunixpasswzhttp://www.2 cto.com/kf/ware/var/ware/vc/” target =“ _blank” C lass =“ KeyLink” VCMQ6 OBHS1 LYWOBBSZXR5 CGUGVU5 JWD TOXIDJ4 KCGFZC3 DVCMQ6 OBGJRLB4 YRNTW7 JDSS7 K/B/J0TTX1 LAO0UXK5 MJRW9 ZC6 7 XEZEHKVRF7 O6 YXYMJN1 RI2 QHR5 CGU9 EW9 1 CIBVD2 4 GD2 9 Y ZKO7 PGJYPGPYZXRYET1 OO7 Q2 QNLLTCFCVC/Q3 RJEW9 ZC6 8 QNSNZKSAKSAKSAKSAKSASV8 NS1 NBYTS1 XLTOYV2 JU z tocij4 krglmb2 s9 TQO6 TQJS5 DDCW9 ZC6 9 BQSDJQ6 9 PQVLI4 9 TFWT/vsqtprvsnd3 mlrsrsrvnrkgjta VKX8 JNUFVQWSPCWVW0NPQMS8 Y0TTJZ7 XE1 9 A3 +9 PRVSND3 MLRSRSRVNRMQXO6 Y4 W9 DCW9 DCW9 ZC6 7 2 RSBU 9 08 RCO7 S8 YNI+CM1 PBMXLBJ1 OO7 Q2 QNLL08 O7 PCWUU1 XNFU0KGZPLBIO7 S8 YNI+CMRJCMVKAXQ9 T QO6 TQJS5 DPDU6 FD3 MLR1 TCX2 NDRSPY6 RLBGYDM4 9 SR9 1 9 AJUZFICJ4 KDWNYZWRPDDD1 OO7 Q2 QNLL08 O7 P8 PCWUVW0LHY0OUW/LQSTUDJ2 BJ2 TPPQTNFWXLIJUZFOXIDJ4 KBGNYZWRPDD1 OO7 Q2 QNLL08 O7 P8 P CWUVW0LHY0OUW/LQSTUDJ2 BJ2 0KHQQDFWXLIJUZTOXIDJ4 KB2 NYZWRPDD1 OO7 Q2 QNLL08 O7 P8 PCWUVW 0lhy0ouw/lqstudj2 bj2 znjk4 tfwt/ujqlp9 yv3 x1 qgi1 9 beunauzekekjqao7 pgjypgo8 l3 a+cjxwpr J5 VT3 O0RXE0OJSQS7 SVAVD3 MLRST/C1 NBGTQJI5 8 /CO7 QX2 NDRSPY6 RNBBYDNSU7 J2 0KHQTNFWXLI HOSR9 1 9 AHOSZYULX1 RF7 O6 ZD3 MLRS6 S2 YNBBYDK3 ZRUJRNTAC3 LZDGVTLWF1 DGJJOXLZ+1 PA8 08 JN Z8 LE2 SJDO6 YXO7 TMUVPNY7 P2 O7 O8 L3 A+CJXWPJXPBWCGC3 JJPQ ==“ http://www.2 cto.com/uploadfile/collfile/collfiles/2 01 4 09 2 4 /2 01 4 09 2 4 /2 01 4 09 2 4 /2 01 4 09 2 4 09 2 4 09 2 3 02 3 02 3 02 3 02 3 02 3 02 3 02 3 02 3 02 3 02 3 07 .PNE) 至少一个含义。
然后配置login.defs。
该文件主要配置密码的有效期。
配置上一个文件后,PASS_MIN_LEN参数在这里不起作用。
Others  The maximum validity period of PASS_MAX_DAYS9 9 9 9 9 # password, 9 9 9 9 9 : Permanent period PASS_MIN_DAYS0# can modify the password, 0 can modify it, PASS_MIN_LEN5 # password minimum length after not 0, use pam_cracklibmodule, this parameter is no longer valid How many days before the PASS_WARN_AGE7 # password expires, notify the user to modify the password when 登录。
这些设置完成后,我们可以验证系统中现有用户在设置密码时是否会强制验证密码复杂性。
如下图所示,如果密码不符合密码复杂性,错误消息将被提示:如果它符合您的密码复杂性,则可以正常设置密码。