提公升Linux帳號安全策略

2021-09-05 05:23:18 字數 1635 閱讀 6029

先來了解一下 /etc/shadow 的格式:

[root@localhost ~]# cat /etc/shadow | grep yejr

yejr:$1$e0l45ajc$b3pfnfsksxrfpi9apj8ms1:13746:0:99999:7:::

類似 /etc/passwd,/etc/shadow 檔的每乙個欄位也是由 ":" 冒號所分開,意義如下:

使用者名稱,最多 8 個符號,可以用大小寫,通常都是小寫。直接對應 /etc/passwd 檔案中的使用者名稱。 

密碼,加密過的 13 個字元。空格 (就是 ::) 表示登入時不需密碼 (不是個好主意),"*" 專案 (就是 :*:) 指出帳號已經關閉。

密碼最後一次變更起所經過的日數 (從 1970-1-1 起 )

密碼經過幾天可以變更 (0 表示可以隨時變更)

密碼經過幾天必須變更 (99999 表示使用者可以保留他們的密碼很多很多年不變)

密碼過期之前幾天開始要警告使用者

密碼過期幾天後帳號會被取消

從 1970-1-1 起,帳號經過幾天會被取消

保留位

了解了之後,就開始吧。

# password aging controls:

## pass_max_days maximum number of days a password may be used.

# pass_min_days minimum number of days allowed between password changes.

# pass_min_len minimum acceptable password length.

# pass_warn_age number of days warning given before a password expires.

#pass_max_days 42

pass_min_days 0

pass_min_len 8

pass_warn_age 10

即,密碼有效期42天,密碼最小長度8位,密碼過期前10天開始提醒。

[root@localhost ~]# passwd -x 42 -w 10 yejr

adjusting aging data for user yejr.

passwd: success

即,修改現行賬戶中的yejr,密碼最長有效期42天,過期前10天開始提醒。

[root@localhost ~]# cat /etc/shadow | grep yejr

yejr:$1$e0l45ajc$b3pfnfsksxrfpi9apj8ms1:13746:0:99999:7:::

[root@localhost ~]# /usr/sbin/vipw

yejr:$1$e0l45ajc$b3pfnfsksxrfpi9apj8ms1:14012:0:42:10:::

即,帳號yejr最後一次修改時間是 2008-05-13,密碼最長有效期是 42 天,密碼過期前 10 天開始提醒。

以上操作在 red hat enterprise linux as release 4 (nahant update 6) 上通過。

Linux 使用者密碼安全策略

一 etc login.defs檔案 pass max days 90 密碼最大有效期,此處引數pass max days為90,表示90天後,密碼會過期。99999表示永不過期。pass min days 10 兩次修改密碼的最小間隔時間,0表示可以隨時修改賬號密碼 pass min len 8 ...

MySQL安全策略

資料是企業核心資產,資料對企業而言是最重要的工作之一。稍有不慎,極有可能發生資料無意洩露,甚至被黑客惡意竊取的風險。每年業界都會傳出幾起大事件,某知名或不知名的公司被脫褲 拖庫的諧音,意思是整個資料庫被黑客盜取 之類的。從資料安全上也可以分為外網安全及內部操作安全,下面分別討論一下。內部操作安全策略...

SSH安全策略

ssh安全策略 ss配置基本安全策略 調整sshd服務配置,並過載服務 root vim etc ssh sshd config protocol 2 去掉ssh協議v1 permitrootlogin no 禁止root使用者登入 permitemptypasswords no 禁止密碼為空的使用...