linux要求某人改密码,配置密码策略

最新推荐文章于 2024-09-13 21:59:02 发布
最新推荐文章于 2024-09-13 21:59:02 发布
阅读量925 收藏 1
点赞数
文章标签: linux要求某人改密码

密码策略介绍

密码策略是操作系统针对系统安全提供的一种安全机制,就好像linux操作系统不提供超级用户登录一样,密码策略包括:密码最小长度、密码使用期限、历史密码、密码复杂度等,在企业里面都是要求对操作系统进行密码策略进行配置的,而且要求密码复杂度。企业中做等级保护测评2级以上都是要求有密码策略的,之前我有过一次做等保测评师的经历,在企业里面几乎没有任何一个企业在使用这个密码策略,很郁闷不知道是工程师们不知道还是什么原因,在这里我就为大家简单介绍一下如何设置密码策略

根据相关要求密码需要满足以下几点要求:

用户有责任和义务妥善保管其个人帐号和密码,不得在任何场合随意公开自己的帐号和密码,不得泄漏他人。由于密码泄漏造成的不良后果由帐号拥有人承担相关责任

密码长度不得少于6位

密码由数字、标点、大小写字母和特殊符号组成,并具有必要的组合复杂度,禁止使用连续或相同的数字、字母组合(如123456等)和其他易于破译的组合作为密码。

密码不得以任何形式的明文存放在主机电子文档中,不得以明文形式在电子邮件、传真中传播。

系统管理人员在建立帐号时,对所分配帐号的初始密码设置为第一次登录强制修改。对于不能强制修改密码的系统,系统管理员创建帐号后立即通知用户修改密码,用户在第一次登录系统并修改密码之后反馈系统管理员,并由系统管理员进行复核。

用户应定期(至少每季度一次)进行密码的修改,并且同一密码不能反复使用。

。。。。。。。。。。。。。。等,具体要求可以查看等保2.0密码技术应用分析

windows设置密码策略

windows密码策略有以下这些设置:

密码必须符合复杂性要求

密码长度最小值

密码最短使用期限

密码最长使用期限

强制密码历史

用可还原的加密存储密码

接下来对这些配置进行修改

打开管理工具

bd810663e591b9b07f54317582b1c00e.pngwAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

打开本地安全策略-账户策略-密码策略

0b52cd2675135ac834f938a83609ea73.pngwAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

416fcd5671c66bb00d7567b08f4f882f.pngwAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

然后就可以根据自己的需求去进行调整,下面是我推荐大家进行设置的,仅供参考

e586afb7c46a21aef4bc00e7baba9964.pngwAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==

Linux系统设置密码策略

对于linux可能大家都很少知道有密码策略这回事吧,好多人都认为linux安全机制已经很强大了,而且大多数linux采用可插拔密码认证来加强密码的安全策略,下面就来说说linux的密码策略,linux密码策略要比windows密码策略要强大许多

linux密码策略有以下设置:

密码的最大有效期

密码最长使用时间

密码最小长度

密码失效前提前多少天进行提醒

密码大小写以及数字、特殊字符等限制

新旧密码不能相同

新旧密码长度不能相同

账号锁定时间

账号自动解锁时间

密码策略配置文件路径:

在centos/redhat等系统中路径:/etc/pam.d/system-auth

ubuntu等系统中路径:/etc/pam.d/common-password

文件内容如下:(版本不同,内容有一些差别)

# /etc/pam.d/common-password - password-related modules common to all services

# This file is included from other service-specific PAM config files,

# and should contain a list of modules that define the services to be

# used to change user passwords.  The default is pam_unix.

# Explanation of pam_unix options:

# The "sha512" option enables salted SHA512 passwords.  Without this option,

# the default is Unix crypt.  Prior releases used the option "md5".

# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in

# login.defs.

# See the pam_unix manpage for other options.

# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.

# To take advantage of this, it is recommended that you configure any

# local modules either before or after the default block, and use

# pam-auth-update to manage selection of other modules.  See

# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)

password        [success=1 default=ignore]      pam_unix.so obscure sha512

# here's the fallback if no module succeeds

password        requisite                       pam_deny.so

# prime the stack with a positive return value if there isn't one already;

# this avoids us returning an error just because nothing sets a success code

# since the modules above will each just jump around

password        required                        pam_permit.so

# and here are more per-package modules (the "Additional" block)

# end of pam-auth-update config

密码过期时间以及有效期等配置文件:/etc/login.defs,文件部分内容:

PASS_MAX_DAYS:一个密码可使用的最大天数。

PASS_MIN_DAYS:两次密码修改之间最小的间隔天数。

PASS_MIN_LEN:密码最小长度。

PASS_WARN_AGE:密码过期前给出警告的天数

下面为大家举例说明linux用户密码策略:

设置密码最大使用时间(PASS_MAX_DAYS)

这个用来限制密码最大可以使用的天数。时间到了会强制进行密码锁定。如果忘记修改,那么就无法登录系统。需要使用管理员账户进行解锁后才能继续使用。这个可以在 /etc/login.defs 文件中的PASS_MAX_DAYS参数设置。在企业中一般把这个值设置为30天,也就是一个月修改一次密码。

root@test:/etc#  vim login.defs

PASS_MAX_DAYS  30         //单位为天数

设置密码最小天数(PASS_MIN_DAYS)

这个是限制多长时间无法进行密码修改。当值为15时,表示15天内无法修改密码,也就是两次密码修改中间最少隔15天,这个可以在 /etc/login.defs 文件中PASS_MIN_DAYS参数设置。企业中一般不对此项进行控制,这个根据自己需求进行修改,我这里设置10天。

root@test:/etc#  vim login.defs

PASS_MIN_DAYS    10            //单位为天数

设置密码过期前警告(PASS_WARN_AGE)

这个用来提醒用户该进行密码修改了,也就是在密码即将过期的时候,会给用户一个警告提示,在未到最大密码使用时间,会每天进行提醒,这可以提醒用户在密码过期前修改他们的密码,否则我们就需要联系管理员来解锁密码。这个可以在 /etc/login.defs 文件中PASS_WARN_AGE参数设置。 这个企业中一般设置为3天,我这里就设置为3天

root@test:/etc#  vim login.defs

PASS_WARN_AGE     3           //单位为天数

避免重复使用旧密码

这个用来防止更改密码时设置为旧密码,寻找同时包含“password”和"pam_unix.so"的行,然后再这行后面加上“remember=天数”。这将防止N个最近使用过的密码被用来设置为新密码,这个配置文件是在 /ect/pam.d/common-password 文件中(主要,centos/redhat需要修改:/etc/pam.d/system-auth文件),这个在企业中一般设置为5,我这里就设置5

ubuntu:

root@test/etc# vim pam.d/common-password

password        [success=1 default=ignore]      pam_unix.so obscure sha512   remember=5

centos/redhat:

root@test/etc# vim  pam.d/common-password

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

设置密码复杂度

这个用来控制密码的复杂程度的,应安全性要求,企业里面要求大小写、特殊字符、数字等最受三个进行组合并且长度最少为8。寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。

ubuntu:

root@test/etc# vim pam.d/common-password

password        requisite     pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

centos/redhat:

root@test/etc# vim pam.d/system-auth

password        requisite     pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

June hello
关注
Linux操作系统加固
悦分享
07-23 1555
如何尽可能地加强Linux的安全性和隐私性?以下列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。
Linux经典系统故障汇总与排障技巧及排障汇总表
悦分享
07-04 671
大部分用户选择Linux操作系统的原因都是因为Linux操作系统的易用性,但是在linux系统发生一些故障的时候我们就需要利用一些补救措施进行故障的排除,下面我们就去看看Linux服务器的典型故障的排除方法。
Linux系统配置密码策略
Matrix的博客
09-13 2081
如下配置密码最长过期天数90天,密码最小过期天数为2天,密码最小长度为8,密码过期警告天数7天。可根据以下说明进行配置
Linux系统设置密码策略
weixin_36086687的博客
07-17 346
Ubuntu18.04:需先安装下相关模块apt-get install libpam-cracklib1、vi /etc/login.defs PASS_MAX_DAYS 90 (密码90天过期) LOGIN_RETRIES 5 (retry 5次) LOGIN_TIMEOUT ...
Linux进阶 给账户设置密码
最新发布
知识的灯塔,梦想的航船
09-13 756
Linux进阶 给账户设置密码
linux 密码策略设置,如何在 Linux 上设置密码策略
weixin_39943868的博客
04-29 889
用户帐号管理是系统管理员最重要的工作之一。而密码安全是系统安全中最受关注的一块。在本教程中,我将为大家介绍如何在 Linux 上设置密码策略。假设你已经在你的 Linux 系统上使用了 PAM (Pluggable Authentication Modules,插入式验证模块),因为这些年所有的 Linux 发行版都在使用它。准备工作安装 PAM 的 cracklib 模块,cracklib 能提...
如何在 Linux 上设置密码策略
WEI的博客
03-11 1156
用户帐号管理是系统管理员最重要的工作之一。而密码安全是系统安全中最受关注的一块。在本教程中,我将为大家介绍如何在 Linux 上设置密码策略。 假设你已经在你的 Linux 系统上使用了PAM (Pluggable Authentication Modules,插入式验证模块),因为这些年所有的 Linux 发行版都在使用它。 准备工作 安装 PAM 的 cracklib 模块,cra...
Linux等保密码策略
Q先生
11-12 1392
Linux等保密码策略1. sudo限制2. 密码试探锁定2.1 centos72.2 ubuntu 18043. 密码失效 1. sudo限制 禁止普通用户sudo ALL=(ALL) for i in `grep ALL= /etc/sudoers |grep -Ev '#|root|wheel'|awk '{print $1}'`;do \ sed -i "/$i/d" /etc/sudoers; \ done 2. 密码试探锁定 10分钟没操作自动登出shell 密码长度10位以上
cmd操作命令和linux命令大全收集
04-24
1. gpedit.msc-----组策略 2. sndrec32-------录音机 3. Nslookup-------IP地址侦测器 ,是一个 监测网络中 DNS 服务器是否能正确实现域名解析的命令行工具。它在 Windows NT/2000/XP 中均可使用,但在 Windows 98...
Linux 密码策略配置
淡淡的心
12-08 1780
Linux 密码策略配置Centos Centos #!/bin/bash
饥荒腾讯云服务器带宽要求,用腾讯云轻量服务器搭建饥荒联机版专用服务器
weixin_39667509的博客
07-30 3785
前言放寒假了,于是又把饥荒捡起来快乐的玩耍.玩过饥荒联机版的小伙伴应该都遇到过这种情况:房间中的某人延迟飘红,严重的时候直接掉线.此外,如果房主把游戏关了,那么房间内的其他人也会掉线(因为房主是服务端嘛而自己搭建服务器完全可以解决上面的情况准备首先我们需要一台云服务器.如果你只玩地面世界的话,只需要1G的内存就够了,如果要地面+洞穴,那就需要2G的内存了.我们看一下官方给的推荐配置:这里我使用的是...
linux 用户的创建,密码的设置
qq_42239069的博客
09-09 1265
------1.用户创建:useradd  用户名 例子:先创建用户组,再创建用户 一:创建用户组,-g设置用户组zhao1 GID为10001 二:创建用户,-s设置用户zhao1 uid自动设置,-s指定登录后使用的shell,-g指定用户组,-m指定新建用户(选项可以任意添加减少)               增加用户账号就是在/etc/passwd文件中为新用户增加一条记录,同时更...
linux强制密码策略,设置Linux密码策略
weixin_34581086的博客
04-29 650
/etc/login.defsPASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期PASS_MIN_DAYS 0 #是否可修密码,0可修,非0多少天后可修PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效PASS_WARN_AGE 7...
Linux设定密码策略
热门推荐
woailyoo0000的博客
01-17 2万+
先讲怎么使用,后面有理论教程,先知其然再知其所以然 1. 禁止使用旧密码 vi /etc/pam.d/system-auth 找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下面)。 password sufficien...
linux|奇怪的知识---账号安全加固,ssh安全加固
zsk_john的技术分享专用博客
02-28 3490
一般情况下,我们对于账号的安全是比较随意的,因为在生产环境里,基本都是使用堡垒机这样的带有安全审计功能的工具对各个主机进行监控,管理,并且结合prometheus,zabbix等等其它监控软件,会对主机的一个整体概况有一个直观的感受。 OK,如果堡垒机什么的任意一个点被持有恶意的人攻破,那么,无疑是会引发数据泄露的,因此,我们需要从根源上对主机做安全加固,比如, 操作系统内的所有用户的密码设定复杂度,例如,密码长度不低于8位,必须带有大小写和特殊符号至少一个,密码不得设定为常用字,例如,不得设置syst
配置密码策略
KH_FC的博客
01-15 7574
密码策略介绍 密码策略是操作系统针对系统安全提供的一种安全机制,就好像linux操作系统不提供超级用户登录一样,密码策略包括:密码最小长度、密码使用期限、历史密码密码复杂度等,在企业里面都是要求对操作系统进行密码策略进行配置的,而且要求密码复杂度。企业中做等级保护测评2级以上都是要求密码策略的,之前我有过一次做等保测评师的经历,在企业里面几乎没有任何一个企业在使用这个密码策略,很郁闷不知道...
Linux 系统密码策略设置
纸上得来终觉浅,绝知此事要躬行
12-15 9665
先讲怎么使用,后面有理论教程,先知其然再知其所以然 1. 禁止使用旧密码 vi /etc/pam.d/system-auth 找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下面)。 password sufficient pamunix.so sha512 shadow nullok tryfirstpass useauthto
linux取消密码复杂度限制 笔记240306
kfepiza的博客
03-06 3391
Linux PAM(Pluggable Authentication Modules,可插拔认证模块)是一种灵活的身份验证框架,它为Linux系统提供了一种标准化的、模块化的方式来管理用户认证。每个模块都会根据其配置执行特定的检查,并返回成功或失败的结果。这个模块通常用于明确地拒绝某些类型的访问,或者作为一个“失败安全”机制,在认证链的末尾捕获所有未被前面的模块处理的请求。例如,如果您的原始密码是“password”,您需要将其更为“password1”或“p4ssword”等,以满足密码策略要求
linux设置复杂密码策略命令,Linux系统设置复杂密码策略方法
weixin_42173205的博客
04-29 1791
用户帐号管理是系统管理员最重要的工作之一。而密码安全是系统安全中最受关注的一块。本文将为大家介绍如何在 Linux 上设置系统用户密码复杂度策略。假设你已经在你的 Linux 系统上使用了 PAM (Pluggable Authentication Modules,插入式验证模块),因为这些年所有的 Linux 发行版都在使用它。一、准备工作安装 PAM 的 cracklib 模块,crackli...
CentOS8配置密码策略:尝试密码N次失败后锁定帐号
bigwood99的博客
09-10 4549
1.配置 CentOS8系统淘汰了pam_tally2,替代者是faillock。 编辑/etc/pam.d/system-auth 和 /etc/pam.d/password-auth 添加以下: auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值