Linux使用者密碼策略

前言:使用linux快三年了,從未想過linux使用者密碼策略,從未把一本linux的書從頭看到尾(上學時的教材除外),故不知書上有無介紹,直到最近參加公司的資訊保安審核會議後才開始考慮linux使用者密碼策略…

系統版本:

red hat enterprise linux as release 4

linux使用者密碼策略

linux使用者密碼的有效期,是否可以修改密碼可以通過login.defs檔案控制.對login.defs檔案修只影響後續建立的使用者,如果要改變以前建立的使用者的有效期等可以使用chage命令.

linux使用者密碼的複雜度可以通過pam pam_cracklib module或pam_passwdqc module控制,兩者不能同時使用. 個人感覺pam_passwdqc更好用.

/etc/login.defs密碼策略

pass_max_days 99999 #密碼的最大有效期, 99999:永久有期

pass_min_days 0 #是否可修改密碼,0可修改,非0多少天後可修改

pass_min_len 5 #密碼最小長度,使用pam_cracklib module,該引數不再有效

pass_warn_age 7 #密碼失效前多少天在使用者登入時通知使用者修改密碼

pam_cracklib主要引數說明:

tretry=n:重試多少次後返回密碼修改錯誤

difok=n:新密碼必需與舊密碼不同的位數

dcredit=n: n >= 0:密碼中最多有多少個數字;n < 0密碼中最少有多少個數字.

lcredit=n:小寶字母的個數

ucredit=n大寶字母的個數

credit=n:特殊字母的個數

minclass=n:密碼組成(大/小字母,數字,特殊字元)

pam_passwdqc主要引數說明:

mix:設定口令字最小長度，預設值是mix=disabled。

max:設定口令字的最大長度，預設值是max=40。

passphrase:設定口令短語中單詞的最少個數，預設值是passphrase=3，如果為0則禁用口令短語。

atch:設定密碼串的常見程式，預設值是match=4。

similar:設定當我們重設口令時，重新設定的新口令能否與舊口令相似，它可以是similar=permit允許相似或similar=deny不允許相似。

random:設定隨機生成口令字的預設長度。預設值是random=42。設為0則禁止該功能。

enforce:設定約束範圍，enforce=none表示只警告弱口令字，但不禁止它們使用；enforce=users將對系統上的全體非根使用者實行這一限制；enforce=everyone將對包括根使用者在內的全體使用者實行這一限制。

non-unix:它告訴這個模組不要使用傳統的getpwnam函式呼叫獲得使用者資訊，

retry:設定使用者輸入口令字時允許重試的次數，預設值是retry=3

密碼複雜度通過/etc/pam.d/system-auth實施

如:要使用pam_cracklib將注釋去掉,把pam_passwdqc.so注釋掉即可.

#password requisite /lib/security/$isa/pam_cracklib.so retry=3 difok=1

password requisite /lib/security/$isa/pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3

password sufficient /lib/security/$isa/pam_unix.so nullok use_authtok md5 shadow

#password requisite /lib/security/$isa/pam_cracklib.so retry=3 difok=1

新密碼至少有一位與原來的不同.