一、已存在账户密码有效期
1.1 加固说明
设置合理的密码有效期,定期更改密码有助于提高账户的安全性。
1.2 加固准备
chage命令在Linux系统中用于查看和更改用户密码的到期信息。当需要为用户提供有限时间的登录或需要不时更改登录密码时,可以使用此命令。通过chage命令,可以查看账户的时效信息及上次更改密码的日期,可以设置密码更改期限或者一定时间后锁定账户等。
chage命令的语法为:chage [选项] 用户名。其中,可用的选项包括:
-d LAST_DAY:设置最后一次密码改变的日期。格式为数字,表示从1970年1月1日到密码改变的天数,也可以表示为YYYY-MM-DD。
-E EXPIRE_DATE:设置账号密码失效的日期。格式为数字,表示从1970年1月1日到失效密码日期的天数,也可以表示为YYYY-MM-DD。
-h :显示在线帮助信息。
-I INACTIVE:设置密码失效后多少天,账号会被锁定。若将INACTIVE设置为-1,则可取消。
-l :显示账号的密码失效信息。
-m MIN_DAYS:设置密码变更后,多少天内可再变更密码。若设置为0,则代表可在任何时间变更密码。
-M :最大修改间隔天数
-W :在密码过期之前的天数发出警告
1.3 加固建议
使用chage命令对已经存在的用户进行密码有效期设置,检查及设置方法如下:
检查密码有效期:sudo chage -l 用户名
设置密码最长有效期:sudo chage -M 天数 用户名
设置密码最短有效期:sudo chage -m 天数 用户名
设置密码过期前提醒用户:sudo chage -W 天数 用户名
1.4 操作示范
检查用户密码有效期:sudo chage -l kylin
设置密码最长有效期30天:sudo chage -M 30 kylin
设置密码最短有效期7天:sudo chage -m kylin
设置密码过期前3天提醒用户:sudo chage -W kylin
1.5 配置验证
查看kylin用户密码有效期:sudo chage -l kylin
二 、新创建账户密码有效期
2.1 加固说明
为了保障新创建的账户也需要遵循密码有效期规则,从而提升系统账户安全性。
2.2 加固准备
/etc/login.defs
是一个在Linux系统中用于设置用户账号限制的重要配置文件。该文件在创建用户时,会对用户的一些基本属性进行默认设置。这些设置包括指定用户的UID和GID的范围、用户的过期时间、密码的最大长度、账户密码的最小长度、登录失败次数限制等。此外,它还可以定义创建用户时是否需要家目录、家目录的权限以及密码的加密方式等。需要注意的是,/etc/login.defs
文件里的配置对root用户无效。
2.3 加固建议
编辑/etc/login.defs文件,在配置文件中找到如下参数进行设置:
PASS_MAX_DAYS //密码最长有效期
PASS_MIN_DAYS //密码最短有效期
PASS_WARN_AGE //密码过期前告警天数
以设置密码最长有效期为15天,最短有效期为1天,过期前3天提醒用户为例,可以按照如下数值修改:
PASS_MAX_DAYS 15
PASS_MIN_DAYS 1
PASS_WARN_AGE 3
2.4 操作示范
编辑配置文件:sudo vim /etc/login.defs
按需求修改配置:
2.5 配置验证
创建test用户并查看密码有效期: