linux 使用者密碼的有效期,是否可以修改密碼可以通過login.defs 檔案控制.對login.defs 檔案修只影響後續建立的使用者,如果要改變以前建立的使用者的有效期等可以使用chage 命令.
linux 使用者密碼的複雜度可以通過pam pam_cracklib module 或pam_passwdqc module 控制,兩者不能同時使用. 個人感覺pam_passwdqc 更好用.
/etc/login.defs 密碼策略
pass_max_days 99999 #密碼的最大有效期, 99999:永久有期
pass_min_days 0 #是否可修改密碼,0 可修改,非0 多少天後可修改
pass_min_len 5 #密碼最小長度,使用pam_cracklib module,該引數不再有效
pass_warn_age 7 #密碼失效前多少天在使用者登入時通知使用者修改密碼
pam_cracklib 主要引數說明:
tretry=n:重試多少次後返回密碼修改錯誤
difok=n:新密碼必需與舊密碼不同的位數
dcredit=n: n >= 0:密碼中最多有多少個數字;n < 0 密碼中最少有多少個數字.
lcredit=n:小寶字母的個數
ucredit=n 大寶字母的個數
credit=n:特殊字母的個數
minclass=n:密碼組成(大/小字母,數字,特殊字元)
pam_passwdqc 主要引數說明:
mix:設定口令字最小長度,預設值是mix=disabled。
max:設定口令字的最大長度,預設值是max=40。
passphrase:設定口令短語中單詞的最少個數,預設值是passphrase=3,如果為0 則禁用口令短語。
atch:設定密碼串的常見程式,預設值是match=4。
similar:設定當我們重設口令時,重新設定的新口令能否與舊口令相似,它可以是similar=permit 允許相似或similar=deny 不允許相似。
random:設定隨機生成口令字的預設長度。預設值是random=42。設為0 則禁止該功能。
enforce:設定約束範圍,enforce=none 表示只警告弱口令字,但不禁止它們使用;enforce=users 將對系統上的全體非根使用者實行這一限制;enforce=everyone 將對包括根使用者在內的全體使用者實行這一限制。
non-unix:它告訴這個模組不要使用傳統的getpwnam 函式呼叫獲得使用者資訊,
retry:設定使用者輸入口令字時允許重試的次數,預設值是retry=3
密碼複雜度通過/etc/pam.d/system-auth 實施如:
要使用pam_cracklib 將注釋去掉,把pam_passwdqc.so 注釋掉即可.
#password requisite /lib/security/$isa/pam_cracklib.so retry=3 difok=1
password requisite /lib/security/$isa/pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3
password sufficient /lib/security/$isa/pam_unix.so nullok use_authtok md5 shadow
#password requisite /lib/security/$isa/pam_cracklib.so retry=3 difok=1
新密碼至少有一位與原來的不同
pass_min_days 引數則設定了在本次密碼修改後,下次允許更改密碼之前所需的最少天數。
pass_warn_age 的設定則指明了在口令失效前多少天開始通知使用者更改密碼(一般在使用者剛剛登陸系統時就會收到警告通知)。
inactive=14
expire=
這會指明在口令失效後多久時間內,如果口令沒有進行更改,則將賬戶更改為失效狀態。在本例中,這個時間是14 天。而expire 的設定則用於為所有新使用者設定乙個密碼失效的明確時間(具體格式為「年份-月份-日期」)。
顯然,上述這些設定更改之後,只能影響到新建立的使用者。要想修改目前已存在的使用者具體設定,需要使用chage 工具。
# chage -m 60 joe
這條命令將設定使用者joe 的pass_max_days 為60,並修改對應的shadow 檔案。
你可以使用chage -l 的選項,列出當前的賬戶時效情況,而使用-m 選項是設定pass_min_days,用-w則是設定pass_warn_age,等等。chage 工具可以讓你修改特定賬戶的所有密碼時效狀態。
注意,chage 僅僅適用於本地系統的賬戶,如果你在使用乙個類似ldap 這樣的認證系統時,該工具會失效。如果你在使用ldap 作為認證,而你又打算使用chage,那麼,哪怕僅僅是試圖列出使用者密碼的時效資訊,你也會發現chage 根本不起作用。
linux安全相關
2017 05 11突然談到linux安全相關的話題,記錄一下 節選一段 及時打補丁也是安全防範的重要步驟,一般涉及核心補丁都需要重啟機器生效,從linux kernel 4.4開始引入熱載入補丁了 看當時的文章介紹好像想要真正實現也有很多限制。最近看某群裡面討論,似乎ubuntu 16.04開始可...
linux 系統安全相關命令
linux 系統安全相關命令 passwd 修改密碼 作用 修改使用者的密碼,它的許可權是超級使用者 l lock 鎖定指定的帳戶 u,unlock 解鎖被指定帳戶 d,刪除密碼 su 變換使用者身份 超級使用者 普通使用者 不輸密碼 普通使用者 超級使用者 輸密碼 f 不讀啟動檔案 l 相當於重新...
Linux系統安全設定相關
安全上下文的違規日誌 var log audit audit.log 檔案或目錄的安全上下文 檢視 ls z 手動修改 chcon 恢復預設值 restorecon 檢視預設值 semanage fcontext l 設定預設值 semanage fcontext a t your path 埠安全...