Linux 系统用户密码长度以及复杂度进行限制 PAM

最新推荐文章于 2024-01-20 11:43:19 发布
最新推荐文章于 2024-01-20 11:43:19 发布
阅读量1.7k 收藏 1
点赞数
文章标签: 运维 数据库
原文链接:http://www.cnblogs.com/qyy349609115/p/9066868.html
版权

 

1.修改用户复杂度的2个文件

wKiom1NOP66SThebAAAvdwO9mqQ944.jpg

wKioL1NOP4XRuZymAAPW4JlUPAg181.jpg

wKiom1NOP67yaMgzAAAvs_1aflk759.jpg

wKioL1NOP4agm5dHAAOvqaLacK0183.jpg
 

 

PAM服务文件

1、# more /etc/pam.d/login 
auth       required     pam_securetty.so
auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
account    required     pam_stack.so service=system-auth
password   required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth
session    optional     pam_console.so

PAM服务文件的格式(四部分)

Module-typecontrol-flagmodule-patharguments
Module-type: auth、account、session、password
Control-flag:required、requisite、sufficient、optional
eg: 
   auth        required    pam_securety.so
authrequiredpam_stack.so   service=system_auth
Module-type(属于认证里面的第一部分,主要是分配权限)
auth:认证、授权(检查用户的名字、密码正确与否);
account:检查用户的帐户是否到期、禁用等。
session:控制会话
password:控制用户修改密码过程
Control-flag (属于认证里面的第二部分,控制标识位)
required:必须通过此认证,否则不再往下认证下去,直接退出;
requisite:必须通过认证,但以后还有机会,可以往下认证;
sufficient:一经通过,后面的不再认证(只要通过这个条件则直接通过);
optional:可选的,通不通过均可。
 
                                          常用的PAM服务文件
 
1)、login ----    /etc/pam.d/login     2)、ipop3d ---  /etc/pam.d/pop
3)、ftp  ----  /etc/pam.d/ftp   或   vsftpd -- /etc/pam.d/vsftpd
4)、sshd--- /etc/pam.d/sshd    5)、su --- /etc/pam.d/su    6)、imap--- /etc/pam.d/imcp
                                           
                                                         认证堆栈
 

①、auth              required        pam_securety.so
②、auth              required        pam_stack.so         service=system-auth
③、auth              required        pam_nologin.so

认证堆栈
如果 号认证结束,则在后面有个结束标志,转到下一个认证即 号认证,依次类推,相同类型的认证会放在一起进行。
其中pam_stack.so调用一个子模块服务,通过这个服务再调用一个第三方的模块进行认证授权。
                                                 常用PAM模块
1)、pam_access.so    控制访问者的地址与帐号的名称
2)、pam_listfile.so     控制访问者的帐号名称或登陆位置
3)、pam_limits.so      控制为用户分配的资源
4)、pam_rootok.so   对管理员(uid=0)无条件通过
5)、pam_userdb.so   设定独立用户帐号数据库认证
如下:

[root@localhost root]# cd /etc/pam.d/
[root@localhost pam.d]# more login
#%PAM-1.0
auth       required     pam_securetty.so
auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
account    required     pam_stack.so service=system-auth
password   required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth
session    optional     pam_console.so
[root@localhost pam.d]# cd /usr/share/doc/pam-0.75/txts/
[root@localhost txts]# ls
pam_appl.txt               README.pam_ftp          README.pam_shells
pam_modules.txt          README.pam_limits       README.pam_stack
pam.txt                      README.pam_listfile      README.pam_stress
README                     README.pam_localuser   README.pam_tally
README.pam_access    README.pam_mail         README.pam_time
README.pam_chroot    README.pam_nologin     README.pam_timestamp
README.pam_console   README.pam_permit      README.pam_unix
README.pam_cracklib   README.pam_pwdb       README.pam_userdb
README.pam_deny      README.pam_rhosts      README.pam_warn
README.pam_env        README.pam_rootok     README.pam_wheel
README.pam_filter      README.pam_securetty  README.pam_xauth
[root@localhost txts]# more README.pam_securetty
pam_securetty:
        Allows root logins only if the user is logging in on a
        "secure" tty, as defined by the listing in /etc/securetty

        Also checks to make sure that /etc/securetty is a plain
        file and not world writable.

        - Elliot Lee , Red Hat Software.
                July 25, 1996.
[root@localhost txts]# more /etc/securetty
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
tty2
tty3
tty4
tty5
tty6
tty7
tty8
tty9
tty10
tty11
[root@localhost txts]# more /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so

password    required      /lib/security/$ISA/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
[root@localhost txts]# pwd
/usr/share/doc/pam-0.75/txts
[root@localhost txts]# more README.pam_nologin
# $Id: README,v 1.1.1.1 2000/06/20 22:11:46 agmorgan Exp $
#

This module always lets root in; it lets other users in only if the file
/etc/nologin doesn't exist.  In any case, if /etc/nologin exists, it's
contents are displayed to the user.

module services provided:

        auth            _authentication and _setcred (blank)

Michael K. Johnson
[root@localhost txts]# touch /etc/nologin
[root@localhost txts]# useradd leekwen
[root@localhost txts]# passwd leekwen
Changing password for user leekwen.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
[root@localhost txts]# ssh leekwen@192.168.0.188
leekwen@192.168.0.188's password:
Permission denied, please try again.
leekwen@192.168.0.188's password:
Permission denied, please try again.
leekwen@192.168.0.188's password:
Permission denied (publickey,password,keyboard-interactive).
[root@localhost txts]# rm /etc/nologin
rm: remove regular empty file `/etc/nologin'? y
[root@localhost txts]# ssh leekwen@192.168.0.188
leekwen@192.168.0.188's password:
[leekwen@localhost leekwen]$ pwd
/home/leekwen
[leekwen@localhost leekwen]$ exit
logout
Connection to 192.168.0.188 closed.
[root@localhost txts]# cd /etc/pam.d/
[root@localhost pam.d]# more login
#%PAM-1.0
auth       required     pam_securetty.so
auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
account    required     pam_stack.so service=system-auth
password   required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth
session    optional     pam_console.so 
[root@localhost pam.d]# tty
/dev/pts/2
[root@localhost pam.d]# ls /dev/tty1
/dev/tty1

 

转载于:https://www.cnblogs.com/qyy349609115/p/9066868.html

weixin_30376083
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于ssh的pam模块密码限制和登陆限制的说明和讲解,系统账号密码失效配置查看及网络不通登陆失败
weixin_43513408的博客
03-03 1987
pam的加密文件讲解: 密码有效期限,
Linux命令行长度,命令行的长度限制是多少?
weixin_42524395的博客
04-29 4835
命令行的长度限制是多少?这取决于你问的是谁。CreateProcess函数的最长命令行长度为32767字符。这个限制来自于UNICODE_STRING结构。CreateProcess是创建进程的核心函数,所以如果你直接调用该函数,该限制是你唯一需要注意的地方。但是如果你通过其他方式间接调用CreateProcess,那么可能会有其他限制。如果你使用的是CMD.EXE命令处理器,那么你同样受到CMD...
linux口令长度,linux的口令复杂
weixin_35940511的博客
05-16 1604
1、/etc/security/pwquality.conf--对应的so文件--/lib64/security/pam_pwquality.so/etc/security/cracklib.conf--对应的so文件--/lib64/security/pam_cracklib.so(redhat7之前在这里配置)适用于所有已经存在的及未来创建的帐号的密码长度限制2、/etc/login.defs...
查看linux密码是多少位,linux密码默认是多少位
weixin_36165152的博客
04-29 422
下列属于阑尾炎术后并发症的是()下列可以用来描述交通流形态的分布有哪些?()文件夹名词解释一夫法是()寸。高压操作应实行(),一人(),一人()。高选择性蛋白尿中不存在的物质是()。建设项日策划的过程和方法的特点有()。各有关单位在进入防寒期前,要对易发生冻结的风、水、油管路做好()等工作。军人委员会应当在了解官兵意见和建议的基础上()建设项日策划的过程和方法的特点有()。建设项日策划的过程和方法...
linux密码不能超过8位,linux 批量创建用户获取8位随机密码
weixin_39720865的博客
05-11 368
#创建账号 分组不分组只有一列useradd无法添加三个账号 添加账号 获取密码 执行最后一句echo stu{4..6}|xargs -n 1|sed -r 's#(.*)#useradd \1;pass=$(date +%N|md5sum|cut -c 5-13);echo ${pass}|passwd --stdin \1;echo -e "\1 ${pass} \n">>...
操作系统安全:密码复杂度设置.pptx
06-02
在`/etc/login.defs`文件中,我们可以定义如`PASS_MAX_DAYS`、`PASS_MIN_DAYS`、`PASS_MIN_LEN`和`PASS_WARN_AGE`等参数,它们分别控制密码的最大过期天数、最小过期天数、最小长度以及密码过期前的警告天数。...
Linux限制SSH登陆以及密码策略
10-17
"Linux限制SSH登陆以及密码策略" 在 Linux 系统中,限制 SSH 登陆和设置密码策略是非常重要的安全措施。下面我们将详细介绍如何限制 SSH 远程 root 登陆和设置密码策略。 一、限制 SSH 远程 root 登陆 在 Linux...
TheLinux-PAM系统管理员指南.doc
02-23
Linux-PAMLinux下的可插入式认证模组)是一个核心功能,旨在为系统管理员提供灵活的用户认证管理方式,无需修改或重新编译支持PAM的应用程序。它通过一组共享函数库,允许管理员根据需求选择和切换不同的认证机制...
如何设置PAM模块控制Linux密码策略
06-05
通过配置`pam_cracklib.so`,我们可以设定密码必须包含哪些类型字符(如大小写字母、数字或特殊符号),以及最小长度限制。 #### pam_cracklib.so 参数详解 下面是一些关键的`pam_cracklib.so`参数: - **debug...
java修改linux密码资料
02-21
- 密码复杂度:Linux系统可以通过`pam_cracklib`模块设置密码复杂度规则,比如最小长度、必须包含特殊字符等。 - 密码过期:`/etc/login.defs`文件可以配置密码过期策略,如最小生存期、最大生存期等。 - 提醒...
Linux 用户口令期限以及长度限制,查看/etc/login.defs的参数配置
李奇的博客
05-15 903
Linux 用户口令期限以及长度限制,查看/etc/login.defs的参数配置
Linux是对用户密码复杂度要求设置【转】
weixin_34185320的博客
07-10 730
那么Linux是如何实现对用户密码复杂度的检查的呢?其实系统密码的控制是有两部分组成: 1 cracklib 2 /etc/login.defs pam_cracklib.so 才是控制密码复杂度的关键文件/lib/security/pam_cracklib.so, Redhat公司专门开发了cracklib这个安装包来判断密码复杂度。如果你想查看pam_cracklib的一些参数,...
Permission denied (publickey,password,keyboard-interactive).
zhangvalue的博客
12-28 4万+
最近一段时间没有在本机上使用hadoop环境,启动hadoop的时候出现错误 Permission denied (publickey,password,keyboard-interactive). 具体的如下: 问题原因: 发现之前配置的在主机上免密登录主机自身,有问题,即执行还需要输入密码 ssh localhost 还需要输入密码才可以 解决办法: 重新配置一下免密登...
Permission denied (keyboard-interactive).问题解决
最新发布
c1100100的博客
01-20 2325
修改配置文件sshd_config解决ssh中keyboard-interactive问题
CENTOS 升级SSH至8.0P1 用户无法登录Permission denied (publickey,password,keyboard-interactive)
过了这个村没这个老王的博客
07-17 1万+
CENTOS 升级SSH至8.0P1 用户无法登录Permission denied (publickey,password,keyboard-interactive) 问题前奏 有个客户环境的SSH 版本为 OpenSSH_8.0p1, OpenSSL 1.0.2r 26 Feb 2019。且用jsch的0.1.54版本连接出错。为尝试复现问题,先在自己虚拟机上升级环境。 升级步骤参考: https://www.cnblogs.com/nmap/p/10779658.html 。 升级过程无误可用。 问题
hadoop Permission denied (publickey,password,keyboard-interactive).
weixin_45939774的博客
05-20 2634
andrew@localhost: Permission denied (publickey,password,keyboard-interactive). ssh localhost没有设置免密码登入 ssh localhost Password: Last login: Wed May 20 10:48:23 2020 from ::1 ssh-kengen生成密码之后 ssh-keygen Generating public/private rsa key pair. Enter file in w
linux基础二
YunYiLi的博客
07-22 304
7.重定向 标准输入(stdin): 从键盘输入,一般用数字0来表示; 标准输出(stdout): 显示到显示屏上的正确输出,一般用数字1来表示; 标准错误(stderr): 显示到显示屏上的错误输出,一般用数字2来表示; 1.什么是重定向? 不从键盘输入,选择从其他方式输入的过程称为输入重定向; 2. 标准输入重定向 tr 'a-z' 'A-Z' tr 'a-z' 'A-Z'
Linux】等保(三级)核查の操作命令笔记(部分)
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
08-18 3101
Linux】等保(三级)核查の操作命令笔记(部分参考)
SSH远程访问出现Permission denied(publickey,password)解决方法
热门推荐
qq_41571459的博客
02-01 8万+
windows上安装SSH服务 设置–》应用–》可选功能–》添加功能–》安装 OpenSSH服务器 和 OpenSSH客户端 在左下角搜索栏输入服务,将相关SSH服务设置为自动(延迟启动) 打开cmd界面,输入: ssh 用户名@目标ip地址即可访问 输入exit,或使用ctrl +D 可以关闭远程访问 ubuntu上安装SSH 如果需要ssh登陆到别的电脑,需要安装openssh-client,该程序ubuntu是默认安装的。 而如果需要从远程连接到本机,则需要安装openssh-server,
linux系统用户密码复杂度怎样设置
06-02
Linux系统中,用户密码复杂度可以通过设置密码策略来实现。密码策略通常包括以下几个方面: 1. 密码长度密码长度应该设置为足够长,一般建议为8位以上。 2. 复杂度要求:密码应该包含大小写字母、数字和特殊字符等多种类型的字符。 3. 密码历史:系统应该记住之前若干个密码,以免用户反复使用相同的密码。 4. 密码过期:密码应该定期过期,让用户强制更换密码。 在Linux系统中,可以通过修改/etc/login.defs文件来设置密码策略。例如,可以设置密码长度为8位,要求包含数字和特殊字符,并且密码历史为5个密码密码过期时间为90天,可以通过以下命令实现: ``` # 密码长度 PASS_MIN_LEN 8 # 复杂度要求 # dcredit表示数字字符 # ucredit表示大写字母 # lcredit表示小写字母 # ocredit表示特殊字符 # minclass表示至少包含几种字符 # maxrepeat表示不允许重复字符的个数 # maxsequence表示不允许连续字符的个数 # mindiff表示必须与之前密码有几个字符不同 # minlen表示密码长度至少为几个字符 # difok表示是否允许新密码与旧密码相同 # reject_username表示密码不能与用户名相同 # enforce_for_root表示是否强制root用户也要满足密码策略 # 详细说明可以查看man pam_passwdqc PASS_MAX_DAYS 90 PASS_MIN_CLASS_DIGIT 1 PASS_MIN_CLASS_ALPHA 1 PASS_MIN_CLASS_OTHER 1 PASS_MAX_REPEAT_CHARS 2 PASS_MAX_SEQUENCE_CHARS 3 PASS_MIN_DIFF_CHARS 3 PASS_USE_CRACKLIB yes # 密码历史 #表示之前5个密码不能重复使用 PASSWD_HISTORY 5 # 密码过期 # 表示密码过期前30天提醒用户更改密码 PASS_WARN_AGE 30 ``` 设置完成后,需要重启系统或重新加载PAM模块才能使设置生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值