说明:因工作需要,特此写本博文,方便以后查阅。处女作,能鼓起勇气在这里写出来,实属不易。如文中有问题之处,望指点,拍砖请轻拍,谢谢合作。
/**************************************************************************************************
*加固系统:ubuntu14.04
**************************************************************************************************/
一、密码口令复杂度设置
设置可使用pam pam_cracklib module或pam_passwdqc module实现密码复杂度设置。PS:两者不能同时使用
pam_cracklib主要参数:
dcredit = N:数组个数。(N >= 0密码中最多有几个数字,N < 0密码中最少有多少个数字)
lcredit = N:小写字母个数。
ucredit = N:大写字母个数。
credit = N:特殊字符个数。
minclass = N:密码由几种类型字符组成。(大/小写字母;数字;特殊字符)
minlen = N:新密码最短长度。
difok = N:新密码必须与旧密码不同的位数。
tretry = N:重试多少次后返回密码修改错误。
pam_passwdqc参数本次没有使用,了解请度娘。
加固步骤:
1、安装PAM的cracklib模块
root@xxx:/# apt-get install libpam-cracklib
2、执行备份
root@xxx:/# cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
3、修改策略设置
root@xxx:/# vim /etc/pam.d/common-password
如设置为至少一个大写字母,一个小写字母,一个数字和一个标点;密码最小长度为8;修改重试3次;不同位数3个;密码最少由两种字符组成;
则修改或加入
password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 retry=3 minlen=8 difok=3 minclass = 2
二、禁止使用旧密码
加固步骤:
1、执行备份
root@xxx:/# cp -p /etc/pam.d/common-password /etc/pam.d/common-password.bak
2、创建文件/etc/security/opasswd,并设置权限
root@xxx:/# touch /etc/security/opasswd
root@xxx:/# chown root:root /etc/security/opasswd
root@xxx:/# chmod 600 /etc/security/opasswd
3、修改策略设置
root@xxx:/# vim /etc/pam.d/common-passwd
在password required pam_unix.so所在行增加remember=5,保存退出。设置为禁止使用最近使用过的5个密码。
三、密码口令生存周期
加固步骤:
1、执行备份
root@xxx:/# cp -p /etc/login.defs /etc/login.defs.bak
2、修改策略设置
root@xxx:/# vim /etc/login.defs
修改
PASS_MAX_DAYS 90 #有效期设置为90天,如是99999则为永不过期。
PASS_MIN_DAYS 0 #是否可修改密码,0可修改,否则几天后可修改。
PASS_MIN_LEN 0 #密码最小长度,设置后cracklib module后该参数失效。
PASS_WARN_AGE 7 #密码失效期前几天提示修改
四、设置登录超时
加固步骤:
1、执行备份
root@xxx:/# cp -p /etc/profile /etc/profile.bak
2、修改策略设置
root@xxx:/# vim /etc/profile
在末行加入 TMOUT=180;export ,保存退出。
注:在密码修改的过程中,密码策略会立即生效。如发现开机密码口令验证失败的情况,请移步:http://blog.csdn.net/ljgstudy/article/details/38828633