linux pam 解锁_Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)

最新推荐文章于 2024-05-17 12:01:09 发布
最新推荐文章于 2024-05-17 12:01:09 发布
阅读量3.2k 收藏 1
点赞数 1
文章标签: linux pam 解锁
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34193979/article/details/111970021
版权

1、Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf

2、模块的添加方法:/etc/pam.d/passwd

password required pam_pwquality.so retry=3

3、模块的配置方法有两种:

一、password required pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0

二、添加到/etc/security/pwquality.conf 中

4、/etc/security/pwquality.conf详解:

retry=N:定义登录/修改密码失败时,可以重试的次数;

Difok=N:定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时,该新密码将被接受;

minlen=N:定义用户密码的最小长度;

dcredit=N:定义用户密码中必须包含多少个数字;

ucredit=N:定义用户密码中必须包含多少个大写字母;

lcredit=N:定义用户密码中必须包含多少个小些字母;

ocredit=N:定义用户密码中必须包含多少个特殊字符(除数字、字母之外);

其中 =-1表示,至少有一个

5、/etc/login.defs详解:

PASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期

PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0多少天后可修改

PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效

PASS_WARN_AGE 7 #密码失效前多少天在用户登录时通知用户修改密码

6、实际生产环境配置

/etc/security/pwquality.conf :

minlen = 8

minclass = 1

maxrepeat = 0

maxclassrepeat = 4

lcredit = -1

ucredit = -1

dcredit = -1

ocredit = -1

difok=5

/etc/login.defs:

PASS_MAX_DAYS 90

PASS_MIN_LEN 12

PASS_MIN_DAYS 7

PASS_WARN_AGE 30

UMASK 077

群响-刘思毅
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux设定密码策略
woailyoo0000的博客
01-17 2万+
先讲怎么使用,后面有理论教程,先知其然再知其所以然 1. 禁止使用旧密码 vi /etc/pam.d/system-auth 找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下面)。 password sufficien...
CentOS7密码复杂度配置
weixin_45526912的博客
01-05 1262
修改pwquality.conf参数文件有2种方法,可以参考“CentOS7 设置密码规则(1)直接vi或vim编辑器 ,或者甚至用sed命令,修改/etc/security/pwquality.conf(2)使用authconfig命令修改,修改后最终会体现在/etc/security/pwquality.conf文件中使用authconfig修改密码复杂度策略。
linux服务器设置密码规则与登录策略
最新发布
hellow0rd的博客
05-17 441
【代码】linux服务器设置密码规则与登录策略。
PAM常见的实操案例
Skycrab
03-07 1万+
#1.怎样才能强迫用户设置密码不能与过去3次内的密码重复? 修改/etc/pam.d/system-auth,增加pam_unix.so的参数,如下 password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=3 #2.如何要求用户设置密码必须包含5个数字,3
常用的Linux可插拔认证模块(PAM)应用举例(二)
cgm88s的专栏
09-02 2252
本文紧接《常用的Linux可插拔认证模块(PAM)应用举例(一)》,继续介绍其他常用的Linux可插拔认证模块(PAM)。 pam_tally.so模块 pam_tally.so模块也是在系统中经常使用的一个pam模块。其主要作用是监控用户的不成功登录尝试的次数,在达到模块限制的次数时会锁定用户一段时间以防止一些黑客软件的暴力破解。 pam_tally.so模块的使用方法和刚才一
利用pam模块passwdqc限定linux用户密码强度
yuyin555的专栏
07-16 2426
限定linux上的root密码强度本身就是一个伪命题。root用户可以直接操作/etc/shadow 修改密码。之所以要这么搞主要还是为了稍微提高一下系统的安全性,毕竟不是人人都知道shadow的改法。 windows也类似,可以通过修改注册表的方式修改密码,但是windows的安全策略依然有密码强度的选项。 之所以选择passwdqc,是因为网上找了一下,发现绝大多数的linux密码强度策略限制都只针对非root用户,而passwdqc可以限定到root用户。 passw...
cvsnt_admin.rar_doc_linux 服务器
09-23
这包括设置数据存储目录、用户认证方式(例如PAM或NTLM)、端口设置等。在/etc/cvsnt/cvsnt.conf文件中,可以定义这些参数。例如: ``` DatabasePath = /var/lib/cvsnt Authenticator = PAM ServerPort = 2401 ``` ...
pam-devel-1.1.8-23.el7.x86_64.rpm
07-30
pam-devel-1.1.8-23.el7.x86_64.rpm
pam-1.1.8-22.el7.x86_64.rpm
11-30
离线安装包,亲测可用
pam-devel-1.1.1-24.el6.x86_64.rpm
09-25
pam-devel-1.1.1-24.el6.x86_64.rpm 适用RadHat 6.5 在离线环境下升级Openssh至7.6P1
CentOS7.0下基于pam_mysql的虚拟用户Vsftpd服务.html
07-29
CentOS7.0下基于pam_mysql的虚拟用户Vsftpd得介绍以及部署配置等;
Linux主机安全基线加固
Kason_iWiki
09-15 1841
文章目录1.确保配置了bootloader配置的权限2.确保核心转储受到限制3.确保启用了地址空间布局随机化(ASLR)4.确保已配置SSH空闲超时间隔5.确保SSH MaxAuthTries设置为4或更低6.确保已禁用SSH空密码登录7.确保配置了密码尝试失败的锁定8.确保默认用户umask限制为027或更高9.确保默认用户shell超时为900秒或更短10.Nginx server_tokens基线11.Nginx未禁用隐藏文件12.OpenSSL版本1.0.2k ,存在漏洞 1.确保配置了bootlo
linux系统pam配置文件,【PAM】 How to Configure and Use PAM in Linux
weixin_30199703的博客
05-01 1531
一、什么是PAMPAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux...
CentOS-CentOS原始/etc/pam.d/system-auth文件内容
热门推荐
centerschool的博客
06-29 1万+
auth        required      pam_env.so        //登录后的环境变量。required表示一个错误则全返回错误,只不过最后返回错误 auth        sufficient    pam_fprintd.so     //指纹认证。sufficient表示如果该模块执行成功则跳过其他所有模块返回结果。 auth        sufficient  
Linux 密码复杂度设置pam_pwqualitypam_passwdqc(centos7)
weixin_34162629的博客
01-17 3462
1、Linux对应的密码策略模块有:pam_passwdqcpam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf 2、模块的添加方法:/etc/pam.d/pass...
Linux密码复杂度设置及登录失败策略设置
DaQiangZhuang的博客
11-14 4516
Ubuntu和CentOS设置密码规则和登录失败策略,登录失败锁定。
linux用户密码策略,Linux用户密码策略
weixin_42638178的博客
04-30 138
Linux用户密码的有效期,是否可以修改密码可以通过login.defs文件控制.对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令.Linux用户密码复杂度可以通过pam pam_cracklib module或pam_passwdqc module控制,两者不能同时使用. 个人感觉pam_passwdqc更好用./etc/login.d...
centos7 system-auth文件中pam_pwquality.so 配置
06-03
在CentOS 7中,`/etc/pam.d/system-auth`文件中的`pam_pwquality.so`通常如下所示: ``` password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= ``` 该配置行的意思是: - `password`: 表示该配置行用于密码更改验证。 - `requisite`: 表示该模块是必需的,并且如果该模块返回错误,则PAM堆栈会立即停止处理。 - `pam_pwquality.so`: 表示使用`pam_pwquality.so`模块进行密码强度验证。 - `try_first_pass`: 表示PAM会尝试使用先前提供的身份验证令牌(例如用户名和密码)来进行密码更改。 - `local_users_only`: 表示该模块仅适用于本地用户,不适用于远程用户。 - `retry=3`: 表示在提示用户之前,PAM将尝试3次密码更改。 - `authtok_type=`: 表示PAM将使用默认的密码令牌类型进行密码更改验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值