对于Linux系统管理员来说,用户管理是最重要的事之一。这涉及到很多因素,实现强密码策略是用户管理的其中一个方面。移步后面的URL查看如何在Linux上生成一个强密码。它会限制系统未授权的用户的访问。
所有人都知道Linux的默认策略很安全,然而我们还是要做一些微调,这样才更安全。弱密码有安全隐患,因此,请特别注意。移步后面的URL查看生成的强密码的密码长度和分值。本文将教你在Linux中如何实现最安全的策略。
在大多数Linux系统中,我们可以用PAM(可插拔认证模块(pluggableauthenticationmodule))来加强密码策略。在下面的路径可以找到这个文件。
在红帽系列的系统中,路径:/etc//system-auth。
Debian系列的系统中,路径:/etc//common-password。
关于默认的密码过期时间,可以在/etc/文件中查看详细信息。
为了更好理解,我摘取了文件的部分内容:
vi/etc/_MAX_DAYS90密码最小天数是什么?
这个参数限制两次修改之间的最少天数。举例来说,如果这个参数被设置为15天,用户今天修改了密码,那么在15天之内他都不能修改密码。这个参数可以在/etc/文件中设置。我设置为15天。
vi/etc/_WARN_AGE10
注意:上面的所有参数仅对新账号有效,对已存在的账号无效。
密码历史或拒绝重复使用密码是什么?这个参数控制密码历史。它记录曾经使用过的密码(禁止使用的曾用密码的个数)。当用户设置新的密码时,它会检查密码历史,如果他们要设置的密码是一个曾经使用过的旧密码,将会发出警告提示。这个参数可以在/etc//system-auth文件中设置。我设置密码历史为5。
vi/etc//system-authpasswordrequisitepam__first_passretry=3minlen=12
try_first_passretry=3:在密码设置交互界面,用户有3次机会重设密码。
设置最少的大写字母个数?这个参数表示密码中至少需要的大写字母的个数。这些是密码强度参数,可以让密码更健壮。当用户设置新密码时,系统会检查这个参数,如果密码中没有大写字母,会收到警告提示。这个参数可以在/etc//system-auth文件中设置。我设置密码(中的大写字母)的最小长度为1个字母。
vi/etc//system-authpasswordrequisitepam__first_passretry=3minlen=12lcredit=-1设置密码中最少的数字个数?
这个参数表示密码中至少需要的数字的个数。这些是密码强度参数,可以让密码更健壮。当用户设置新密码时,系统会检查这个参数,如果密码中没有数字,会收到警告提示。这个参数可以在/etc//system-auth文件中设置。我设置为1个数字。
vi/etc//system-authpasswordrequisitepam__first_passretry=3minlen=12ocredit=-1设置账号锁定?
这个参数控制用户连续登录失败的最大次数。当达到设定的连续失败登录次数阈值时,锁定账号。这个参数可以在/etc//system-auth文件中设置。
vi/etc//system-authauthrequiredpam_=failauditsilentdeny=5unlock_time=900accountrequiredpam_
via:
作者:MageshMaruthamuthu选题:lujun9972译者:lxbwolf校对:wxy
本文由LCTT原创编译,Linux中国荣誉推出