虽然Linux的设计是安全的,但还是存在许多安全漏洞的风险,弱密码就是其中之一。本教程描述了在Linux系统下设置像密码长度、密码复杂度、密码有效期等密码策略。
--Sk
虽然Linux的设计是安全的,但还是存在许多安全漏洞的风险,弱密码就是其中之一。作为系统管理员,你必须为用户提供一个强密码。因为大部分的系统漏洞就是由于弱密码而引发的。本教程描述了在基于DEB系统的Linux,比如Debian、Ubuntu、LinuxMint等和基于RPM系统的Linux,比如RHEL、CentOS、ScientificLinux等的系统下设置像密码长度、密码复杂度、密码有效期等密码策略。
在基于DEB的系统中设置密码长度默认情况下,所有的Linux操作系统要求用户密码长度最少6个字符。我强烈建议不要低于这个限制。并且不要使用你的真实名称、父母、配偶、孩子的名字,或者你的生日作为密码。即便是一个黑客新手,也可以很快地破解这类密码。一个好的密码必须是至少6个字符,并且包含数字、大写字母和特殊符号。
通常地,在基于DEB的操作系统中,密码和身份认证相关的配置文件被存储在/etc//目录中。
设置最小密码长度,编辑/etc//common-password文件;
找到下面这行:
在末尾添加额外的文字:minlen=8。在这里我设置的最小密码长度为8。
保存并关闭该文件。这样一来,用户现在不能设置小于8个字符的密码。
在基于RPM的系统中设置密码长度在RHEL、CentOS、系统中,以root身份执行下面的命令来设置密码长度。
输出样例:
在RHEL、CentOS、系统中,编辑/etc//system-auth文件:
查看该设置,执行:
查看该设置:
查看该设置,执行:
查看该设置,执行:
找到下面这行并且在该行末尾添加:
如上设置中,密码必须要至少包含8个字符。另外,密码必须至少包含一个大写字母、一个小写字母、一个数字和一个其他字符。
在基于DEB的系统中设置密码有效期现在,我们将要设置下面的策略。
密码被使用的最长天数。
密码更改允许的最小间隔天数。
密码到期之前发出警告的天数。
设置这些策略,编辑:
在你的每个需求后设置值。
正如你在上面样例中看到的一样,用户应该每100天修改一次密码,并且密码到期之前的7天开始出现警告信息。
请注意,这些设置将会在新创建的用户中有效。
为已存在的用户设置修改密码的最大间隔天数,你必须要运行下面的命令:
设置修改密码的最小间隔天数,执行:
设置密码到期之前的警告,执行:
显示已存在用户的密码,执行:
这里,sk是我的用户名。
输出样例:
正如你在上面看到的输出一样,该密码是无限期的。
修改已存在用户的密码有效期,
上面的命令将会设置用户sk的密码期限是24/06/2018。并且修改密码的最小间隔时间为5天,最大间隔时间为90天。用户账号将会在10天后被自动锁定,而且在到期之前的10天前显示警告信息。
在基于RPM的系统中设置密码效期这点和基于DEB的系统是相同的。
在基于DEB的系统中禁止使用近期使用过的密码你可以限制用户去设置一个已经使用过的密码。通俗的讲,就是说用户不能再次使用相同的密码。
为设置这一点,编辑/etc//common-password文件:
找到下面这行并且在末尾添加文字remember=5:
上面的策略将会阻止用户去使用最近使用过的5个密码。
在基于RPM的系统中禁止使用近期使用过的密码这点对于和和它们的衍生系统CentOS、ScientificLinux是相同的。
以root身份编辑/etc//system-auth文件,
找到下面这行,并且在末尾添加文字remember=5。
现在你了解了Linux中的密码策略,以及如何在基于DEB和RPM的系统中设置不同的密码策略。
via:
作者:SK选题:lujun9972译者:liujing97校对:wxy
本文由LCTT原创编译,Linux中国荣誉推出