如何设置 Linux密码复杂度,让系统更加安全

等等,还有一件事。
上次我在咖啡馆看到一个年轻人,他的手机密码是他的生日和电话号码。
我情不自禁地想起了他,他真的说:“谁能想到呢?”结果第二天他就收到了一条短信,说他的账号登录异常。
幸好他发现得及时。
这提醒我,密码不能掉以轻心。

如何在 Linux 上设置密码策略

我最近正在帮助一家初创公司升级他们的服务器安全配置,其中一个步骤就是设置密码策略。
记得那天,我坐在电脑前,看着屏幕上的命令行界面,手指飞快地敲击着键盘。
我输入 sudo vi /etc/pam.d/common-password,屏幕上弹出密码策略配置文件。

我翻到“Password”这一行,发现后面跟着“pam_unix.so oblique sha5 1 2 member=5 ”,这意味着系统限制了用户使用最近5 个密码。
我微微一笑,心想,这个设置还是不错的,至少可以防止用户一次又一次使用相同的密码。

然后我继续往下看,发现了“pam_cracklib.so minlen=1 0 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 ”。
该行命令的密码长度至少为1 0个字符,并且至少包含一个大写字母、两个小写字母、一个数字和一个标点符号。
我一看时间,已经是下午三点了。
我开始怀疑是不是我记错了密码复杂度设置,但仔细想想,我觉得是对的。

最后来到/etc/login.defs文件,将密码最长有效期设置为1 5 0天,最短有效期设置为0天,并提前7 天提醒用户密码即将过期。
我输入 sudo vi /etc/login.defs 然后修改相关行。

设置完成后,我深吸了一口气,保存文件,然后关闭它。
看到屏幕上显示保存成功,我心想,这很好,至少在密码保护方面,我们的服务器必须能够承受一些基本的攻击。

等等,我突然想到,我们还需要设置一个密码过期后自动锁定的策略,防止用户忘记更改密码。
我得看看相关的命令。

如何在Linux中设置密码策略 Linux pam_pwquality配置

上周,我在公司的服务器上配置了pam_pwquality模块,这让我对Linux密码策略有了更深入的了解。
首先,我将密码的最小长度设置为1 2 个字符,并要求密码至少包含大小写字母、数字等3 种字符。
我还将密码设置为至少 5 个字符,必须更改旧密码以提高安全性。

在安装过程中,我在Debian/Ubuntu系统上使用命令 sudo apt-get install libpwquality pam_pwquality 来安装必要的软件包。
然后,我编辑了 /etc/pam.d/common-password 文件,添加了 pam_pwquality 模块配置并设置 retry=3 、minlen=1 2 、minclass=3 、difok=5
保存配置后,我尝试更改密码以验证策略是否生效。
接下来,我还使用chage命令强制用户更改密码,并编写了一个脚本,使用pwscore工具检测密码强度,强制弱密码用户更改密码。

此外,我还查看了其他 PAM 模块,例如 pam_tally2 和 pam_faillock,它们可以锁定多次登录失败的帐户。
我还配置了 pam_google_authenticator 来实现双因素身份验证,并配置 pam_access 来限制访问。

总体而言,通过正确配置 pam_pwquality 和其他 PAM 模块,我显着提高了 Linux 系统的密码安全性。
但是,我也理解应该定期审查策略并根据安全威胁更新密码规则。
在测试配置时,我总是备份文件并在非生产环境中进行测试。
最后结合日志监控,通过分析登录失败事件,保证系统安全。

2 02 3 年,我朋友的公司遭遇了严重的密码泄露事件,所以我更加关注密码政策。
我认为通过这些措施我们可以大大降低系统遭受攻击的风险。
这取决于你。
如果你还需要提高Linux系统的安全性,可以尝试这些方法。

如何设置用户密码策略 chage过期时间管理

chach命令管理密码策略,直接使用即可。

-l 查看用户密码信息。
-d 上次更改密码的时间。
-E 更改帐户过期时间。
-m 更改密码至少需要几天时间。
- 更改密码需要几天时间。
-W 提醒您提前几天更改密码。
-我更改到期后的宽限天数。

例如:chage -M 9 0 alice。
chage-m 7 爱丽丝。

批量编辑,修改/etc/login.defs。
PASS_MAX_DAYS 是更改密码的最长时间。
PASS_MIN_DAYS 是更改密码的最短方法。
PASS_WARN_AGE 更改提醒日期。

临时用户,临时用户变更-E 2 02 5 -06 -3 0。

编写一个脚本来检查过期帐户。
awk 查找空密码或隐藏帐户。
grep 查找过期密码。

不要太严格,也不要太松。
与 PAM 一起使用会更加复杂。
使用脚本定期检查状态。