一、准备工作安装PAM的cracklib模块,cracklib能提供额外的密码检查能力。Debian、Ubuntu或LinuxMint系统上:$sudoapt-getinstalllibpam-cracklibCentOS、Fedora、RHEL系统已经默认安装了cracklibPAM模块,所以在这些系统上无需执行上面的操作。为了强制实施密码策略,我们需要修改/etc/pam.d目录下的PAM配置文件。一旦修改,策略会马上生效。注意:此教程中的密码策略只对非root用户有效,对root用户无效。二、禁止使用旧密码找到同时有“password”和“pam_unix.so”字段并且附加有“remember=5”的那行,它表示禁止使用最近用过的5个密码。Debian、Ubuntu或LinuxMint系统上:$sudovi/etc/pam.d/common-passwordpasswordrequisitepam_cracklib.soretry=3minlen=10difok=3ucredit=-1lcredit=-2dcredit=-1ocredit=-1CentOS、Fedora、RHEL系统上:$sudovi/etc/pam.d/system-authpasswordrequisitepam_cracklib.soretry=3difok=3minlen=10ucredit=-1lcredit=-2dcredit=-1ocredit=-1五、设置密码过期期限编辑/etc/login.defs文件,可以设置当前密码的有效期限,具体变量如下所示:$sudovi/etc/login.defsPASSMAXDAYS150PASSMINDAYS0PASSWARNAGE7这些设置要求用户每6个月改变他们的密码,并且会提前7天提醒用户密码快到期了。如果你想为每个用户设置不同的密码期限,使用chage命令。下面的命令可以查看某个用户的密码限期:$sudochage-lxmoduloLastpasswordchange:Dec30,2019Passwordexpires:neverPasswordinactive:neverAccountexpires:neverMinimumnumberofdaysbetweenpasswordchange:0Maximumnumberofdaysbetweenpasswordchange:99999Numberofdaysofwarningbeforepasswordexpires:7默认情况下,用户的密码永不过期。下面的命令用于修改xmodulo用户的密码期限:$sudochage-E6/30/2019-m5-M90-I30-W14xmodulo上面的命令将密码期限设为2019年6月3日。另外,修改密码的最短周期为5天,最长周期为90天。密码过期前14天会发送消息提醒用户,过期后帐号会被锁住30天。
米士奇2019-11-03 14:54:37
1009
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
