强制使用强密码(用户密码安全配置)
PAM身份验证安全配置实例
一、强制使用强密码(用户密码安全配置)
PAM配置文件:/etc/pam.d/system-auth-
模块名称:pam_cracklib(仅适用于password模块接口)
模块参数:
minlen=12 密码字符长度不少于12位(默认为9)
lcredit=-1 至少包含1个小写字母
ucredit=-1 至少包含1个大写字母
dcredit=-1 至少包含1个数字
ocredit=-1 至少包含1个特殊字符
retry=3 配置密码时,提示3次用户密码错误输入
difok=6 配置密码时,新密码中至少6个字符与旧密码不同(默认为5)
其他常用参数:
reject_username 新密码中不能包含与用户名称相同的字段
maxrepeat=N 拒绝包含超过N个连续字符的密码,默认值为0表示此检查已禁用
maxsequence=N 拒绝包含大于N的单调字符序列的密码,例如’1234’或’fedcb’,默认情况下即使没有这个参数配置,一般大多数这样的密码都不会通过,除非序列只是密码的一小部分
maxcla***epeat=N 拒绝包含相同类别的N个以上连续字符的密码。默认值为0表示此检查已禁用。
use_authtok 强制使用先前的密码,不提示用户输入新密码(不允许用户修改密码)
eg:password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 ucredit=-1 lcredit=-1 dcredit=1 ocredit=-1 enforce_for_root
注释:enforce_for_root表示密码策略对root账户生效。