目录
Linux安全加固——账户管理
1、口令锁定策略
查看配置文件:more /etc/pam.d/password-auth
auth required pam_tally2.so deny=5 onerr=fail unlock_time=300 even_deny_root=5 root_unlock_time=600
普通账户五次密码错误,300s后重试。root账户五次密码错误后,300s后重试
pam_tally2 -u 查看因为系统密码策略而被锁定的账户
pam_tally2 -u king -r 解除king这个账户因为账户策略被锁定的状态
PAM通过提供一些动态链接库的一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活的根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。
2、口令生存期:
查看配置文件:more /etc/login.defs
编辑:PASS_MAX_DAYS 90(口令生存时间) PASS_WARN_AGE 7(过期警告天数,就是最后七天警告)
对文件编辑后,只对之后创建的用户生效,在这之前创建的用户不生效
执行命令:chage -M 90 -W 7 king 修改已有用户king的口令生存期和过期警告天数
3、口令复杂度:
执行命令:grep -E "^minlen|^minclass" /etc/security/pwquality.conf (查看是否有返回结果)
authconfig --passminlen=8 --passminclass=3 --update
passminlen密码长度,passminclass密码种类:数字,字母,特殊字符三项
chage -d 0 king 强制指定的用户下次登录修改密码
4、检查密码重用是否受限制