Linux 控制用户口令安全策略

标签：

一、控制用户口令长度、有效期

/etc/login.defs 文件主要是控制密码有效期的文件，密码的复杂度的判断是通过pam模块控制来实现的，具体的模块是pam_cracklib

# vi /etc/login.defs

PASS_MAX_DAYS   99999    #密码最大有效期时间，99999基本上是永久有效，一般可以设置为100天有效，到了100天就不能登录了。
PASS_MIN_DAYS   0            #至少多少天后必须修改口令，一般设置0天，而到了最大有效期后就必须修改口令，否则到期锁定了。
PASS_MIN_LEN    10            #密码最少长度
PASS_WARN_AGE   7           #密码失效前多少天在用户登录时通知用户修改密码

保存  

修改命令

# chage -l test

Last password change                                 : Aug 07, 2015
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

# chage -E 2015-09-01 test   设置test用户到期时间为2015年9月1日

# chage -l test
Last password change                                    : Aug 07, 2015
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Sep 01, 2015
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

# chage -M 100 test    设置test用户口令的最大到期时间

# chage -l test
Last password change                                    : Aug 07, 2015
Password expires                                        : Nov 15, 2015
Password inactive                                       : never
Account expires                                         : Sep 01, 2015
Minimum number of days between password change          : 0
Maximum number of days between password change          : 100
Number of days of warning before password expires       : 7

二、控制用户口令复杂度

检查控制密码复杂度软件包是否安装

# rpm -qa|grep cracklib
cracklib-2.8.9-3.3
cracklib-dicts-2.8.9-3.3

# vi /etc/pam.d/system-auth

password    requisite     pam_cracklib.so retry=5 minlen=10 ucredit=-1 lcredit=-3 dcredit=-1 ocredit=-1 dictpath=/usr/share/cracklib/pw_dict 
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    required     pam_deny.so

这里要求最多尝试5次超过锁定，口令长度至少10位，至少1个大写字母，至少3个小写字母，至少1个数字，至少1个特殊字符，不能是字典中常见单词

说明：

retry=5    尝试次数为5次

minlen=10    最少长度10位

ucredit=N：大写字母，N>=0表示最多几个大写字母，N是负数表示至少几个
lcredit=N：小写字母，N>=0表示最多几个小写字母，N是负数表示至少几个
dcredit=N：数字，N>=0表示最多几个数字，N是负数表示至少几个
ocredit=N：特殊字符，N>=0表示最多几个特殊字符，N是负数表示至少几个

三、测试

使用root创建一个普通用户test并设置test的初始口令

注意：root设置普通用户的口令时，也会检测口令长度和复杂度，但是即使不符合要求也可以设置成功，因为root是Linux系统的God。

使用test用户登录，然后通过passwd命令修改自己的口令，此时口令长度、复杂度等等要求就都开始有效了

[test@SIT ~]$ passwd
Changing password for user test.
Changing password for test
(current) UNIX password:
New UNIX password:
BAD PASSWORD: it is based on a dictionary word（提示包含了字典中的单词，过于简单）
New UNIX password:
BAD PASSWORD: it does not contain enough DIFFERENT characters（提示包含了过多重复的字母）
New UNIX password:
BAD PASSWORD: case changes only  （这里提示没有大写字母）

Linux 控制用户口令安全策略

标签：

原文地址：http://my.oschina.net/lionel45/blog/489043