编辑 /etc/pam.d/common-password
配置文件中包含 password requisite pam_cracklib.so
这一行。配置 minlen
(密码最小长度)设置为 9-32
位,ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
,它表示密码必须至少包含一个大写字母(ucredit),一个小写字母(lcredit),一个数字(dcredit)和一个标点符号(ocredit)。如
vim /etc/pam.d/common-password
password requisite pam_cracklib.so retry=3 minlen=11 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
6. 检查密码重用是否受限制 | 身份鉴别
强制用户不重用最近使用的密码,降低密码猜测攻击风险
加固建议
在 /etc/pam.d/common-password
中 password [success=1 default=ignore] pam_unix.so
这行的末尾配置 remember
参数为 5-24
之间,原来的内容不用更改,只在末尾加了 remember=5
。
password [success=1 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512 remember=5
7. 确保 SSH MaxAuthTries 设置为 3 到 6 之间 | SSH 服务配置
设置较低的 Max AuthTrimes 参数将降低 SSH 服务器被暴力攻击成功的风险
加固建议
在 /etc/ssh/sshd_config
中取消 MaxAuthTries
注释符号 #
,设置最大密码尝试失败次数 3-6
,建议为 4
:
M