centos中关于弱密码的总结

最新推荐文章于 2024-08-30 12:20:33 发布

假用户

最新推荐文章于 2024-08-30 12:20:33 发布

阅读量366

点赞数

文章标签： centos linux 运维

本文链接：https://blog.csdn.net/weixin_48356489/article/details/133418765

版权

vim /etc/security/pwquality.conf
pwquality.conf提供了一种为系统密码配置默认密码复杂度要求的方法。此文件由libpwquality库和使用此库检查和生成密码的实用程序读取。该文件具有非常简单的name=value格式，可能的注释以“#”字符开头。开头的空格行、行尾和“=”符号周围将被忽略。
libpwquality库还首先读取所有来自/etc/security/pwquality的conf文件。按ASCII排序的conf.d目录。相同设置的值将按照解析文件的顺序被覆盖。

修改密码策略配置文件 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth，并将 use_authtok 选项添加到 password 行中：

其实系统对密码的控制是有两部分组成：
1、cracklib
2、/etc/login.defs
控制密码复杂度的关键文件/lib/security/pam_cracklib.so， Redhat公司专门开发了cracklib这个安装包来判断密码的复杂度。
pam_pwquality此模块可以插入到给定服务的密码堆栈中，以提供密码的一些强度检查。
该代码最初基于pam_cracklib模块，该模块与其选项向后兼容。此模块的作用是提示用户输入密码，并根据系统字典和一组识别错误选择的规则检查密码的强度。
————————————————
vim /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 difok=3 minlen=8 lcredit=-1 dcredit=-1 maxrepeat=3 reject_username enforce_for_root
password requisite pam_pwhistory.so remember=5 use_authtok
————————————————
vim /etc/login.defs
注：修改了 /etc/login.defs下参数时，会立即生效，但是它只对修改后创建的用户生效。
PASS_MAX_DAYS 90 #密码最大有效期，此处参数PASS_MAX_DAYS为90，表示90天后，密码会过期。99999表示永不过期。
PASS_MIN_DAYS #两次修改密码的最小间隔时间，0表示可以随时修改账号密码
PASS_MIN_LEN 8 #密码最小长度，对于root无效
PASS_WARN_AGE 7 #密码过期前多少天开始提示
————————————————
vim /etc/security/pwquality.conf
minlen = 8 #新密码的最小可接受大小。
dcredit=-1 #密码中包含所需数字的最小数量，如果小于0，则为新文件中的最小小写字符数
ucredit = -1#密码中包含大写字符的最小数量，此项为新密码中包含大写字符的最大数，如果小于0，则为新文件中的最小大写字符数
lcredit=1 #新密码中包含小写字符的最大数量，如果小于0，则为新文件中的最小小写字符数
ocredit = 1 #此项为新密码中包含其他字符的最大数，如果小于0，则为新文件中的最小其他字符数，等于0，则不做强制要求
minclass=1 #新字符所需的最小字符类数（数字、大写、小写、其他
maxrepeat=0 #新密码中允许的最大连续相同字符数。#如果该值为0，则禁用该检查
maxclassrepeat=0#中同一类允许的最大连续字符数，如果该值为0，则禁用该检查
difok = 5 #新密码和旧密码相同字符数数量
retry = 3 #在返回错误之前，最多提示用户N次。默认值为1
en1`force_for_root#对根用户密码强制执行质量检查
remember=5 每次修改密码时设置的新密码不能是前n次使用过的密码

————————————————
vi /etc/security/faillock.conf
audit #如果找不到用户，将把用户名记录到系统日志中。
silent #不显示信息性消息
deny = 5 #连续身份验证失败的次数，则拒绝访问
unlock_time = 1800 #锁定n秒后，将重新启用访问
even_deny_root #root帐户和常规帐户一样可以被锁定
root_unlock_time = 1800 #root账号锁定时间，不设置同普通用户
————————————————
faillock命令是一个应用程序，可用于检查和修改配置文件的内容。它可以显示最近失败的用户名身份验证尝试，或清除所有或单个用户名的计数文件。该命令使用的是pam_faillock.so模块，此模块是在指定时间内维护每个用户失败身份认证列表，并在多次连续失败的身份验证时锁定该账户。如果您的用户没有获得shell帐户，root只能通过su或在计算机控制台（而不是telnet/rsh等）登录，通常，root用户在多次尝试失败后不会被阻止。因为这是相对安全的。Faillock.conf文件在pam-1.3.1-8.el8之前的版本中是不存在/etc/security/faillock.conf这个配置文件的。该文件由pam_faillock模块读取，因为faillock.conf配置简单是直接配置pam_faillock的首选方法。
————————————————

其他密码设定
https://blog.csdn.net/cainiao17441898/article/details/121232006