RedHat 7 安全策略配置

最新推荐文章于 2024-04-10 00:15:08 发布
最新推荐文章于 2024-04-10 00:15:08 发布
阅读量2.6k 收藏 12
点赞数
分类专栏: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yadedoo/article/details/123691768
版权

密码复杂度 口令历史 会话超时 安全策略 Linux系统
关键词由CSDN通过智能技术生成

这里写自定义目录标题

1、密码复杂度

vi /etc/pam.d/system-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 minlen=8 dcredit=-2 ucredit=-1 lcredit=-1 ocredit=-1 enforce_for_root authtok_type=

-- 策略说明:

try_first_pass local_users_only 
retry=3          -- 密码重试次数3
minlen=8         -- 最小长度16
dcredit=-2       -- 最少包含2个数字
ucredit=-1       -- 最少包含1个大写字母
lcredit=-1       -- 最少包含1个小写字母
ocredit=-1       -- 最少包含1个特殊字符
enforce_for_root -- 策略对root用户生效
authtok_type=

-- 策略详解:


--定义登录/修改密码失败时,可以重试的次数
retry=N 


-- 新密码的最小长度
minlen=N 
    
	
-- 当N > 0 时表示新密码中数字出现的最多次数; 当N < 0时表示新密码中数字出现最少次数;	
dcredit=N


--当N>0时表示新密码中大写字母出现的最多次数;当N<0时表示新密码中大写字母出现最少次数;
ucredit=N 

    
-- 当N>0时表示新密码中小写字母出现的最多次数;当N<0时表示新密码中小写字母出现最少次数;
lcredit=N 
    
	
-- 当N>0时表示新密码中特殊字符出现的最多次数;当N<0时表示新密码中特殊字符出现最少次数;
ocredit=N 

    
-- 拒绝包含多于N个相同连续字符的密码。默认值为0表示禁用此检查。
maxrepeat=N 

    
-- 拒绝包含长于N的单调字符序列的密码。默认值为0表示禁用此检查。
-- 实例是’12345’或’fedcb’。除非序列只是密码的一小部分,否则大多数此类密码都不会通过简单检查。
maxsequence=N 


-- 如果用户更改密码是root,则模块将在失败检查时返回错误。
-- 默认情况下,此选项处于关闭状态,只打印有关失败检查的消息。
-- 但root仍可以更改密码。不要求root用户输入旧密码,因此不会执行比较旧密码和新密码的检查。    
enforce_for_root

2、密码有效期

Password aging controls:
PASS_MAX_DAYS    Maximum number of days a password may be used.
PASS_MIN_DAYS     Minimum number of days allowed between password changes.
PASS_MIN_LEN        Minimum acceptable password length.
PASS_WARN_AGE   Number of days warning given before a password expires.

vi /etc/login.defs
PASS_MAX_DAYS   180   -- 密码过期最大天数
PASS_MIN_DAYS   90    -- 密码过期最小天数
PASS_MIN_LEN    16    -- 密码长度
PASS_WARN_AGE   7     -- 密码过期提醒天数

3、禁止空口令及口令历史

3.1、禁止空口令

默认已禁止空口令

vi /etc/pam.d/system-auth

auth sufficient pam_unix.so nullok try_first_pass
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

3.2、口令历史

记录最近三次的密码

vi /etc/pam.d/system-auth

auth sufficient pam_unix.so nullok try_first_pass
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=3 -- 记录最近三次密码

4、会话超时时长

vi /etc/profile

-- 单位秒,10分钟超时
export TMOUT=600

-- 配置生效
source /etc/profile

5、命令历史的显示时间及记录行数

vi /etc/profile

-- 显示时间格式
export HISTTIMEFORMAT='%F %T'

-- 显示记录行数:
HISTFILESIZE=100

-- 配置生效
source /etc/profile
yadedoo
关注
专栏目录
password requisite pam_pwhistory.so use_authtok {include if “with-pwhistory“}详解
weixin_53389944的博客
08-12 181
会在用户更改密码时检查密码历史记录和策略,并且只有符合条件"with-pwhistory"时才会生效。: 这是一个条件语句,表示只有当"with-pwhistory"条件为真时才会包含这个模块。这个条件可能是由其他配置中定义的变量或条件决定的。: 这是PAM模块的控制标志之一,它表示如果这个模块失败,接下来的验证流程会被中断,用户无法登录。: 这个参数告诉PAM使用认证令牌(通常是用户提供的密码)来进行验证。: 这是实际的PAM模块名称,它负责密码历史记录和策略的实现。因此,这个PAM配置中的密码模块。
centos7设置密码策略_CentOS7,REDHAT7 密码复杂度配置
weixin_39634443的博客
12-21 2328
CentOS7/RHEL7 开始使用pam_pwquality模块进行密码复杂度策略的控制管理。pam_pwquality替换了原来Centos6/RHEL6中的pam_cracklib模块,并向后兼容。使用pam_pwquality模块设置密码复杂度可以通过两种方式实现:1、直接指定pam_pwquality模块参数,即在/etc/pam.d/system-auth中的“password ...
关于linux系统密码策略的设置
热门推荐
什么什么高手的博客
09-24 1万+
由于工作需要最近需要将公司的多台linux服务器进行密码策略的设置,主要内容是增加密码复杂度。 操作步骤如下,不会的同学可以参考: 操作前需要掌握如下几个简单的知识点:(其实不掌握也行,不过学学没坏处) PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开
RedHat 密码策略加固
weixin_33775572的博客
08-03 539
配置账户口令期限 安全要求: 密码最大有效期90天,过期前10天提醒用户更改密码 通用策略: 对维护帐号和系统帐号启用口令过期策略,实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。 风险说明: 如果口令在过期前不及时修改,可能造成业务中断。所以请确定哪些帐号需要进行例外设置。 如果存在关联密码的情况,在修改密码时没同步修改业务相关配置文件,...
RedHat7改密码与系统修复
VmBoys的博客
05-12 5169
红帽7系统修复 实验目的: 掌握红帽7密码破解 掌握/boot文件夹的丢失修复   实验步骤: 步骤一、密码破解 在启动红帽7系统的界面中,在下面的这个界面中会停留一段时间,这个时间可以自己设置 我们按小写e键进入到grub界面中 在grub界面中,倒数第二行中  把rhgb quiet参数改成rd.break参数,(rhgb quiet参数是在系统启动时不会出现很多服务
RHEL8中配置账户密码锁定策略
sujin的博客
12-04 2335
环境 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Red Hat Enterprise Linux 8 PAM pam_faillock.so 问题 What is pam_faillock ? How to implement account lockout policy using pam_faillock.so ? pam_tally is deprecated in RHEL6, what can I configure
红帽linux改root密码,Redhat 7.6 主机强制修改root密码配置网关
weixin_35866180的博客
04-29 2078
最近接到一个需求,做Oracle数据库迁移,但是新环境只有纯操作系统,操作在机房。到了机房才发现,真的只有纯服务器,网线都没插,找了显示器,启动服务器,启动过程可以看到是Redhat7.6的系统,但是root密码,普通用户密码,客户都不知道,说这个服务器已经闲置两年了,最近因为一些原因才用起来准备当作迁移的新环境来用。所以现在的规划是将这台服务器划分存储,配网络,然后装数据库,在做迁移。一、强制修...
查看电脑重启日志_详解各个系统主机日志及数据库日志收集--AIX、redhat、HP-UX等...
weixin_39946657的博客
11-10 1582
概述今天主要针对主机和数据库日志的一些收集做一下记录总结,下面一起来看看吧~一、主机系统日志收集:创建主机日志收集目录:--Unix/Linux创建存放系统日志的文件夹:# mkdir -p /var/collect/OS1、LinuxLinux系统日志文件: /var/log/messages将最近1000条日志输出到linux1000.log文件中:# tail -1000 /var/log/...
Linux】等保(三级)核查の操作命令笔记(部分)
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
08-18 3355
Linux】等保(三级)核查の操作命令笔记(部分参考)
redhat/centos版本>=7.x系统一键安装mysql数据库5.7.x并配置基线安全策略shell脚本
11-09
3.请确保端口3306(可更改)没有被占用,安全要求默认端口3306不可启用 4.请尽量确保yum源可用 5.暂时不支持centosredhat 版本为6.x的系统自动安装 6.可同时按住Ctrl和c停止脚本的安装运行 7.若运行脚本表明您愿意...
redhat7高可用双机配置中文
01-03
4. 配置STONITH(Shoot The Other Node In The Head):STONITH是一种安全措施,用来确保在进行故障切换时,故障节点被完全隔离,避免资源冲突。 5. 配置集群资源:定义在集群中需要管理的资源,如IP地址、文件系统...
mysql7 centos7 redhat 安装包.7z
09-27
总结来说,安装MySQL 5.7.21在CentOS 7或Red Hat上涉及到多个步骤,包括下载和解压离线安装包、安装依赖、配置服务、初始化数据库以及进行必要的安全设置。理解这些步骤和相关知识对于有效管理和维护MySQL服务器至关...
针对RedHat7 oracle系统安装手册
12-21
在Red Hat Enterprise Linux 7(简称RHEL 7)上安装Oracle数据库系统是一个涉及多个步骤和技术的复杂过程。本手册将详细阐述整个安装流程,包括可能遇到的问题以及如何避免它们。以下是一些关键知识点的概述: 1. *...
RedHat Linux 5 安装配置与安全优化实战指南
安装完成后,你需要配置许可协议、防火墙规则、SELinux策略、KDUMP设置、时间和日期,以及软件更新。同时,手册还指导如何创建普通用户、设置声卡和处理附加光盘内容。 在分区规划部分,手册提供了指导原则,帮助你...
CentOS 7上实施密码复杂性策略
allway2的博客
12-26 1万+
在本指南中,我们将学习如何在基于CentOS 7 / RHEL的派生产品上实施密码复杂性策略。我们之前的指南涵盖了在Ubuntu 18.04上实施密码复杂性。您可以通过以下链接进行检查; 在Ubuntu 18.04上实施密码复杂度策略CentOS 7上实施密码复杂度策略 与我们之前的指南类似,我们将使用PAMpwquality模块在基于CentOS 7 / RHEL的派生产品上实施密码复...
linux安全加固(3),网络安全面试2024
最新发布
UYruihu的博客
04-10 687
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
【肥海豹】-网络安全等级保护(等保)-LINUX类服务器配置
FAT_SEAL的博客
08-07 3999
本文为个人总结,欢迎交流指正,集思广益,发现错误或其他配置方案会进行更新。(三级系统要求,以CentOS系统为例,不同版本可能有配置区别) 身份鉴别 a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1. 要求登录服务器的用户具有独立的身份标识(用户名),并需要采用身份鉴别措施(例如使用用户名+密码进行登录); 2. 要求服务器中不存在同名用户(服务器自身无法创建同名用户); 3. 要求从服务器策略上对密码复杂度进行限制,策略配置方法:...
Centos安全基线加固
凡心所向,素履以往,生如逆旅,一苇以航
01-13 546
4.禁止非whell组用户切换到root。详情见脚本内容,可自行修改。1.密码最长过期天数90。10.新建文件权限配置。2.密码最小长度16。11.SSH超时断开。
Linux命令】《鸟哥Linux基础》第十三章 Linux账号管理与ACL权限设置
qq_30885821的博客
06-12 1522
第十三章 Linux账号管理与ACL权限设置 13.1 Linux的账号与用户组 13.1.1 用户标识符:UID与GID 人一般容易记忆账号,但是Linux主机只认识ID,账号与ID的对应关系写在/etc/passwd中。 每个登录的用户都至少会获取两个ID:用户ID(UID)、用户组ID(GID)。 文件通过UID和GID判别它的拥有者和用户组。要求显示文件属性时,系统根据/etc/passwd和/etc/group的内容找到UID和GID对应的账号与组名,显示出来。 重要内容: /etc/passwd
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值