linux 密码设置及登陆控制/设置密码复杂度 (/etc/pam.d/system-auth)

最新推荐文章于 2024-04-28 13:23:38 发布
最新推荐文章于 2024-04-28 13:23:38 发布
阅读量3.5w 收藏 144
点赞数 11
分类专栏: Linux C/C++ 文章标签: linux密码复杂度 pam
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/inthat/article/details/117920671
版权

文章目录

一、linux密码设置及登陆控制

密码设置及登陆控制文件位置:/etc/pam.d/system-auth

1. Linux中pam模块

Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制。这种方式下,就算升级本地认证机制,也不用修改程序. PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式.应用程序 调用相应的配置文件,从而调用本地的认证模块.模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户的密码.这就是su命令通过调用PAM模块实现的。

1.1 PAM的模块类型

Linux-PAM有四种模块类型,分别代表四种不同的任务,它们是:
认证管理(auth),
账号管理(account),
会话管理(session)
密码(password)管理,
一个类型可能有多行,它们按顺序依次由PAM模块调用.

vi /etc/pam.d/system-auth
如下图:

配置分为基本分为四列:模块名称、控制、模块库文件和参数。
在这里插入图片描述

其中模块主要分四种,具体功能如下:

  • auth模块: 用来对用户的身份进行识别.如:提示用户输入密码,或判断用户是否为root等.
  • auth模块: 对帐号的各项属性进行检查.如:是否允许登录,是否达到最大用户数,或是root用户是否允许在这个终端登录等.
  • session模块: 这个模块用来定义用户登录前的,及用户退出后所要进行的操作.如:登录连接信息,用户数据的打开与关闭,挂载文件系统等.
  • password模块: 使用用户信息来更新.如:修改用户密码.

总结: auth、account、password、session,auth是一个标识符,说明要干的事情,auth处理登录时验证方面的事,account、password、session和登录时验证没啥关系,比如password是处理更改密码时的事情。

常用PAM模块
在这里插入图片描述

1.2 控制介绍

控制用来标记处理和判断各个模块的返回值。控制分为六种:

required 表示即使某个模块对用户的验证失败,也要等所有的模块都执行完毕后,PAM 才返回错误信息。

requisite 和required相似,但是如果这个模块返回失败,则立刻向应用程序返回失败,表示此类型失败.不再进行同类型后面的操作.

sufficient 表示如果一个用户通过这个模块的验证,PAM结构就立刻返回验证成功信息,把控制权交回应用程序。其后相关模块的所有控制都将会比忽略。

optional 只有当它是与此服务+类型相关联的配置项是中的唯一模块时,模块返回才有意义。

include 引入改项指定文件中的所有配置项。

substack 和include类似。不同之处在于,对子堆中的完成和失败的行为的评估不会导致跳过整个模块堆栈的其余部分,而只会跳过子模块。

2. LINUX设置密码复杂度

CentOS操作系统密码复杂度策略设置
参考URL: https://yuweidong.blog.csdn.net/article/details/107831661
CentOS7密码复杂度配置
参考URL: https://blog.csdn.net/longfeizzu/article/details/101377584
linux设置密码复杂程度
参考URL: https://blog.csdn.net/weixin_43226231/article/details/105963093

在大多数 Linux 系统中,我们可以用 PAM(可插拔认证模块pluggable authentication module)来加强密码策略。

在下面的路径可以找到这个文件。

  • 在红帽系列的系统中,路径:/etc/pam.d/system-auth。
  • Debian 系列的系统中,路径:/etc/pam.d/common-password。

在CentOS 7上实现密码复杂度策略设置,主要是使用PAM pwquality模块完成

1、备份原有配置文件

cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak

2、设置复杂度策略

vim /etc/pam.d/system-auth

找到包含pam_pwquality.so模块的行,将原有行注释并修改为如下的新配置,密码长度最少12位,至少包含一个大写字母,一个小写字母,一个数字,一个特殊符号。

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
  • minlen=12 密码最小长度为8个字符。
  • lcredit=-1 密码应包含的小写字母的至少一个
  • ucredit=-1 密码应包含的大写字母至少一个
  • dcredit=-1 将密码包含的数字至少为一个
  • ocredit=-1 设置其他符号的最小数量,例如@,#、! $%等,至少要有一个
  • enforce_for_root 确保即使是root用户设置密码,也应强制执行复杂性策略。

3. 用户不能使用su来进行切换用户

查看日志secure, 日志存放的为/var/log/secure

二、参考

Linux 如何设置密码复杂度?
参考URL: https://linux.cn/article-11709-1.html

西京刀客
关注
  • 11
    点赞
  • 144
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
1 Linux SSH安全加固
qq_40907977的博客
02-06 1750
Linux SSH 安全加固,这里使用CentOS7.5 做演示 一、配置SSH双因素登录 ​ 1.确定系统时钟是正确的 ​ 2.安装相关依赖 ​ yum install -y git gcc automake autoconf libtool make pam-devel ​ 3.安装google 验证器 git clone https://github.com/google/google-a...
操作系统安全:密码复杂度设置.pptx
06-02
Linux密码复杂度设置 密码复杂度设置linux设置密码复杂度办法: (1)修改/etc/login.defs文件 PASS_MAX_DAYS 90 #密码最长过期天数 PASS_MIN_DAYS 80 #密码最小过期天数 PASS_MIN_LEN 10 #密码最小长度 PASS_WARN_AGE 7 #密码过期警告天数 密码复杂度设置 2)修改/etc/pam.d/system-auth文件 找到 password requisite pam_cracklib.so这么一行替换成如下: password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict 参数含义: 尝试次数:5 最少不同字符:3 最小密码长度:10 最少大写字母:1 最少小写字母:3 最少数字:3 密码字典:/usr/share/cracklib/pw_dict linux系统是如何实现对用户的密码复杂度的检查的呢
Linux服务器安全设置
LOOPY_Y的博客
08-28 2454
主要汇总常见的Linux服务器安全设置,主要包括:密码复杂度设置密码复杂度检查、密码失效时间、密码修改最小间隔时间、登陆失败设置、限制root权限用户远程登录、命令历史记录保存数量、登录超时自动登出设置等......
system-auth与password-auth的区别
最新发布
weixin_53389944的博客
04-28 625
配置文件是系统的全局认证配置文件,通常包含系统范围内适用的认证规则和策略。配置文件是特定于密码管理的PAM配置文件,通常包含与用户密码相关的认证规则和策略。但如果新的安全策略涉及到密码管理方面,可能需要同时在两个配置文件中进行添加。中添加新的PAM安全策略,这样可以确保所有服务和应用程序都遵循相同的认证规则。是系统范围的全局认证配置文件,可以确保新的安全策略适用于系统上的所有服务和应用程序。是两个不同的PAM配置文件,它们在系统上的作用和功能略有不同。如果你想特定于密码管理的策略,也可以将其增加到。
Linux系统安全
a91888888的博客
09-09 225
Required:一票否决 这个模块在认证中必须成功返回才能通过认证 但是如果认证返回失败 失败结果不会通知用户 所有type中的模块全部认证完毕 最后再把结果反馈给用户。Sufficient:一票通过 如果返回成功 表示通过了身份认证的要求 不会再执行同一类型的相同模块 如果返回失败 会忽略 继续执行同一类型中的其他模块。su—am.d 找配置文件---su---lib64/security---调用认证模块。su 这个程序---匹配pam.d目录下的配置文件----su。
linux的CentOS操作系统密码复杂度策略设置(/etc/pam.d/system-authpam_pwquality.so模块)
hjxloveqsx的博客
02-10 2618
在/etc/pam.d/system-auth上找到pam_pwquality.so模块的行。
Linux系统设置用户密码规则(复杂密码策略)方法
热门推荐
小僧下山踏红尘
03-30 1万+
linux 设置系统用户密码安全规则
linux加固安全之密码复杂度
weixin_30527143的博客
05-13 692
随着linux系统使用的普遍性,对linux用户及系统安全要求也随之提升,单纯从单位制度,用户安全意识上来规范,并不能杜绝弱口令,必须从技术上要求用户定时修改复杂的密码,从而提高用户和系统的安全性。 密码策略的2个基本 一个密码最长使用期限,另一个是密码复杂度;这两个分别是/etc/login.defs 和/etc/pam.d/system-auth控制。 1. vi/etc/login...
Linux 系统密码策略设置
纸上得来终觉浅,绝知此事要躬行
12-15 9293
先讲怎么使用,后面有理论教程,先知其然再知其所以然 1. 禁止使用旧密码 vi /etc/pam.d/system-auth 找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下面)。 password sufficient pamunix.so sha512 shadow nullok tryfirstpass useauthto
Linux配置密码复杂度策略及密码使用周期、会话空闲超时处理
SummerGao
09-21 2228
Linux系统下的用户密码复杂度规则 用户密码复杂度规则设定,需要通过 ...
Linux下限制SSH登陆以及密码策略
10-17
Linux 系统中,我们可以通过修改 `/etc/pam.d/system-auth` 文件来设置密码策略。在该文件中,我们可以添加以下内容: `password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1...
Linux用户密码策略
03-16
描述如何制定Linux操作系统中的用户密码策略,保证系统的安全。
02-阿里云标准-CentOS Linux 6安全基线检查
03-25
根据阿里云标准,我们需要在/etc/pam.d/password-auth和/etc/pam.d/system-auth配置文件中包含password requisite pam_cracklib.so这一行,并增加配置minlen(密码最小长度)设置为9-32位,minclass(至少包含小写...
等级保护2.0三级-Linux测评指导书V1.0.pdf
09-11
这可以通过检查`/etc/pam.d/system-auth`文件中的`pam_tally.so`配置及`/etc/profile`中的超时锁定参数(如`TMOUT`)来验证。 3. **远程管理安全**: - **鉴别信息保护**:远程管理时,鉴别信息应加密传输,防止被...
(完整版)21-SGISLOP-SA32-10Linux等级保护测评作业指导书(三级).doc
11-19
测评项 ADT-OS-LINUX-03 介绍了登录失败处理策略的要求,检查系统帐号登录失败处理策略,执行以下命令:more /etc/pam.d/system-auth,查看是否存在 account required /lib/security/pam_tally.so deny=3 no_magic_...
linux安全加固手册.docx
07-01
* 配置密码复杂度:在 `/etc/pam.d/system-auth` 文件中添加配置项,以确保密码复杂度。 2. 登录失败策略 ----------------- * 启用登录失败处理功能:可采取结束会话、限制非法登录次数和自动退出等措施。 * ...
Linux:password already has been used!
窦再兴的博客
03-19 1万+
问题描述,将某用户密码更改为之前使用过的密码,提示此错误 1. /etc/pam.d/common-password,此文件中的安全策略可以限制用户不能更改为之前使用的历史密码 命令:password required pam_pwhistory.so use_authtok remember=6 retry=3 2. Linux历史密码在/etc/secur...
Linux设置密码复杂度
fth1002853070的博客
10-18 4067
控制用来标记处理和判断各个模块的返回值。控制分为六种:required 表示即使某个模块对用户的验证失败,也要等所有的模块都执行完毕后,PAM 才返回错误信息。requisite 和required相似,但是如果这个模块返回失败,则立刻向应用程序返回失败,表示此类型失败.不再进行同类型后面的操作.sufficient 表示如果一个用户通过这个模块的验证,PAM结构就立刻返回验证成功信息,把控制权交回应用程序。其后相关模块的所有控制都将会比忽略。
基于 debian 发行版本的密码设置策略
weixin_41725862的博客
05-17 3346
需要安装 pam 扩展包 libpam-pwquality 或 libpam-cracklib。安装成功后 /etc/pam.d/common-password 文件会新增一行配置策略。自动登出策略已经设置了 5m ,来自配置文件 /etc/ssh/sshd_config。修改 /etc/pam.d/common-password 的配置策略。以三级等保的要求为例,要求如下(如值为 -1 代表不限制)修改 /etc/login.defs 中的选项。我们将该值改为 90。
centos操作系统配置/etc/pam.d/system-auth,配置一定的密码复杂度策略
03-24
我可以为您提供一些配置/etc/pam.d/system-auth的建议,并帮助您设置一定的密码复杂度策略。您可以按照以下步骤进行操作: 1. 打开终端并登录到CentOS操作系统。 2. 打开/etc/pam.d/system-auth文件。 3. 在文件中找到包含“password requisite”字样的行。 4. 在该行下方添加以下代码: password requisite pam_cracklib.so retry=3 minlen=8 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 5. 保存文件并退出编辑器。 6. 修改密码时,新密码必须满足以下要求: * 至少包含8个字符。 * 至少包含一个大写字母。 * 至少包含一个小写字母。 * 至少包含一个数字。 * 至少包含一个特殊字符。 希望这能帮助您在CentOS操作系统中设置密码复杂度策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

西京刀客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值