【系统安全】密码规则和登录限制_system-auth-ac-程序员宅基地

技术标签: 密码  安全  系统安全  登录限制  锁定用户  

作者:【吴业亮】云计算开发工程师
博客:http://blog.csdn.net/wylfengyujiancheng

一、设置密码规则
1、密码长度、有效期
/etc/login.defs文件是当创建用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围;用户的期限等等,这个文件是可以通过root来定义的
PASS_MAX_DAYS 90 —-两次改变密码之间相距的最大天数,密码有效最大天数
PASS_MIN_DAYS 6 —-两次改变密码之间相距的最小天数,为零时代表任何时候都可以更改密码
PASS_MIN_LEN 6 —-密码最小长度
PASS_WARN_AGE 30 —-在密码过期之前警告的天数
注意:以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令

2、查看用户的密码规则
chage -l test
最近一次密码修改时间 : 6月 08, 2017
密码过期时间 : 9月 06, 2017
密码失效时间 :从不
帐户过期时间 :从不
两次改变密码之间相距的最小天数 :6
两次改变密码之间相距的最大天数 :90
在密码过期之前警告的天数 :30
3、修改方法:

# chage -M 90 -m 6 -W 30 test

注意:不要用该命令给root用户加上有效期,如果密码过期,再加上后文说的/etc/shadow文件加锁禁止修改,会导致root提示修改密码,无法成功修改密码,从而无法登陆。
如果要修改密码过期时间为“从不”

# chage -M 99999 test

4、设置密码最大使用时间

[root@server ~]# vi /etc/login.defs
PASS_MAX_DAYS 60

5、两次改变密码之间相距的最小天数

[root@server ~]# vi /etc/login.defs
PASS_MIN_DAYS 2

6、在密码过期之前警告的天数

[root@server ~]# vi /etc/login.defs
PASS_WARN_AGE 7

7、五次更改密码不能有重复,并且每次修改密码都会将历史密码记录在/etc/security/opasswd文件中

[root@server ~]# vi /etc/pam.d/system-auth
password     sufficient     pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

8、设置最小的密码长度为8

[root@server ~]# authconfig --passminlen=8 --update

查看配置结果

[root@server ~]# grep "^minlen" /etc/security/pwquality.conf 
minlen = 8

9、设置密码必须满足同时有两种特殊字符(大写、小写、数字、特殊字符)

[root@server ~]# authconfig --passminclass=2 --update

查看配置结果

[root@server ~]# grep "^minclass" /etc/security/pwquality.conf 
minclass = 2

10、设置密码中只允许两个连续的字符相同

[root@server ~]# authconfig --passmaxrepeat=2 --update

查看配置结果

[root@server ~]# grep "^maxrepeat" /etc/security/pwquality.conf 
maxrepeat = 2

11、在新密码中设置同一类的允许连续字符的最大数目

[root@server ~]# authconfig --passmaxclassrepeat=4 --update

查看配置结果

[root@server ~]# grep "^maxclassrepeat" /etc/security/pwquality.conf 
maxclassrepeat = 4

12、在新密码中至少需要一个小写字符。

[root@server ~]# authconfig --enablereqlower --update

查看配置结果

[root@server ~]# grep "^lcredit" /etc/security/pwquality.conf 
lcredit = -1

13、在新密码中至少需要一个大写字符

[root@server ~]# authconfig --enablerequpper --update

查看配置结果

[root@server ~]# grep "^ucredit" /etc/security/pwquality.conf 
ucredit = -1

14、在新密码中至少需要一个数字

[root@server ~]# authconfig --enablereqdigit --update

查看配置结果

[root@server ~]# grep "^dcredit" /etc/security/pwquality.conf 
dcredit = -1

15、密码包括至少一个特殊字符
查看配置结果

[root@server ~]# grep "^ocredit" /etc/security/pwquality.conf 
ocredit = -1

16、在新密码中设置单调字符序列的最大长度

[root@server ~]# vi /etc/security/pwquality.conf
#文件末尾新增
maxsequence = 3

17、设置新密码中不能出现在旧密码中的字符数

[root@server ~]# vi /etc/security/pwquality.conf
#文件末尾新增
difok = 5

18、检查来自用户passwd条目的GECOS字段的长度超过3个字符的字是否包含在新密码中。

[root@server ~]# vi /etc/security/pwquality.conf
#文件末尾新增
gecoscheck = 1

19、设置不能包含在密码中的Ssace分隔的单词列表

[root@server ~]# vi /etc/security/pwquality.conf
#文件末尾新增
badwords = denywords1 denywords2 denywords3

20、为新密码设置hash / crypt算法。 (默认为sha512)


[root@server ~]# authconfig --test | grep hashing 
password hashing algorithm is md5
#修改为sha512
[root@server ~]# authconfig --passalgo=sha512 --update
[root@server ~]# authconfig --test | grep hashing 
password hashing algorithm is sha512

二、账户锁定策略实现
策略要求如下:
设定锁定的阈值为5次
锁定时间为5分钟即300秒
必须所有用户都受限,包括root
1、修改配置文件/etc/pam.d/system-auth-ac,写入策略

root@server ~]# vi /etc/pam.d/system-auth-ac
auth        required      pam_env.so
auth        required      pam_tally2.so even_deny_root deny=5 unlock_time=60 
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     required      pam_tally2.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

2、修改配置文件/etc/pam.d/password-auth-ac

[root@server ~]# vi /etc/pam.d/password-auth-ac
auth        required      pam_env.so
auth        required      pam_tally2.so deny=5 unlock_time=60
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     required      pam_tally2.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

3、查看用户锁定状态

[root@ server pam.d]# pam_tally2 -u wyl
Login           Failures Latest failure     From
wyl                 7    12/20/16 14:02:55  192.168.10.86

4、解锁状态

[root@ server ~]# pam_tally2 -r -u  wyl
Login           Failures Latest failure     From
wyl                 0

参考:
https://www.server-world.info/en/note?os=CentOS_7&p=password
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wylfengyujiancheng/article/details/53998633

智能推荐

文本分类特征提取之Word2Vec-程序员宅基地

文章浏览阅读4.4w次,点赞11次,收藏56次。分类问题是人类所面临的一个非常重要且具有普遍意义的问题,我们生活中的很多问题归根到底都是分类问题。文本分类就是根据文本内容将其分到合适的类别,它是自然语言处理的一个十分重要的问题。文本分类主要应用于信息检索,机器翻译,自动文摘,信息过滤,邮件分类等任务。文本分类技术发展历史 1960-1970:那时主要通过人工+规则(关键词或者正则表达式)的方式,制定规则的人需要对某类目领域有足够的认知和了解。举_文本特征提取word2vec

libevent高并发网络编程 - 06_基于libevent的C++线程池实现_windows c++ 开发 客户端 libevent-程序员宅基地

文章浏览阅读1k次。本文利用libevent,实现一个C++线程池,,可自定义用户任务类,继承于任务task基类,重写任务基类的纯虚函数实现多态。比如将定义定义处理客户端的请求任务类,实现对客户端请求的并发处理。工作队列:可以理解为线程的队列,一个线程同时可以处理一个任务,空闲的线程回从任务队列取出任务执行。当工作队列空时,线程会睡眠。任务队列:用户将任务加入任务队列,然后通知工作队列,取出一个任务到线程中执行。_windows c++ 开发 客户端 libevent

工作缺点和不足及措施_【工作中存在的问题和不足及改进措施】_工作中的不足与改进_工作中不足及改进措施...-程序员宅基地

文章浏览阅读3.4w次,点赞3次,收藏11次。篇一:《工作中存在的不足及改进措施》通过近一段时间的工作,反省自身,还存在许多不足和缺点,现将近期的工作、学习中存在的不足和缺点简要总结如下:1、自身的专业业务水平不高,事故应急处理能力不强.虽然通过学习和工作经验的积累,在业务水平上有了一定的提高,但业务水平和工作经验与其它老同志比还是比较低.在日常工作中偏重于日常生产工作,也忽视了自身思想素质的提高,工作中争强当先的意识不强.2、工作上满足于正..._工作不足之处及改进措施

java读取大数据量Excel按需读取(按需加载,速度快)_java 读取大文件excel-程序员宅基地

文章浏览阅读2k次。常用的poi工具,如easy-excel,hutool读取excel是都是先将整个excel加载到内存中分析,然后再一行行遍历,当excel文件太大时读取的时间就会更长,如果我们只需要读取excel的前几行来进行预览就不能使用这种方式,应该按需读取。_java 读取大文件excel

HTML_常用标签测试_html标签检测-程序员宅基地

文章浏览阅读237次。HTML_常用标签测试_html标签检测

【优化模型】牛顿法求解非线性方程组-程序员宅基地

文章浏览阅读482次。牛顿法是一种用于求解非线性方程组的迭代优化方法。其基本原理是基于泰勒级数展开和一阶导数的近似,通过不断迭代修正初始猜测解来逼近方程组的解。Fx0其中,Fxf1​xf2​x...fn​xT是一个多元函数,xx1​x2​...xn​T是待求解的变量向量。牛顿法的基本思想是,在当前的迭代点xk​处,用一个一阶泰勒展开来近似fi​xfi​x≈fi​xk​j1∑n​∂xj​∂fi​xk。

随便推点

克里金插值法(kringing)与PHPnow集成开发环境_后端克里金插值分析-程序员宅基地

文章浏览阅读815次。文章目录摘要摘要_后端克里金插值分析

使用有道云笔记的三个技巧_有道云笔记如何建立 文档索引-程序员宅基地

文章浏览阅读3.3w次,点赞10次,收藏36次。我们在 Windows 操作系统中写文档,做笔记,通常使用 Windows 自带的记事本,可是记事本不支持插入图片,创建表格等功能,从而不得不使用 Office Word。不知道大家有没有这样的感觉,使用 Office Word 写文档,效率极低,需要一边敲字,一边使用鼠标排版,比如:在文章中给团队的名字“LSGO软件技术团队”加粗,就需要先用鼠标选中这个词语,然后点击工具栏中“B”形状的工具..._有道云笔记如何建立 文档索引

IP-guard 远程命令执行漏洞_ipg 漏洞-程序员宅基地

文章浏览阅读137次。IP-guard 远程命令执行漏洞_ipg 漏洞

IOT时代,数据安全更无侥幸-程序员宅基地

文章浏览阅读255次。2017年,全球数据泄露事件已不仅是呈翻倍的速度增长。16年的14亿条,到17年仅上半年的17亿条,这样的数据泄露规模你是否还在存在侥幸心理,就是那所谓的“怎么可能刚好落在我身上”。随着我们在工作、生活中的云化,就在今天,万物互联已经融入到我们每个人的生活中,相信在不就的将来,整个IOT时代也将会很快的到来。仔细回忆一下,今天我们所做的任何情都离不..._8,iot时代,数据安全有哪些新特征?

MySQL 详细学习教程【万字长文, 建议收藏】_mysql教程-程序员宅基地

文章浏览阅读6.7k次,点赞47次,收藏143次。存放文本时,也可以使用Text数据类型,可以将TEXT列视为VARCHAR列,注意Text不能有默认值,大小0-2^16字节;同一查询在同一事务中多次进行,由于其它提交事务所做的修改和删除,每次返回不同的结果集,则发生不可重复读;多个连接开启各自事务操作数据库中数据时,数据库系统要负责隔离操作,以保证各个连接在获取数据是的准确性;同一查询在同一个事务中多次执行,由于其它提交事务所做的插入操作,每次返回不同的结果集,此时发生幻读;同真是的表一样,视图包含列,其数据来自对应的真实表(基表)_mysql教程

GD32官方开发环境及固件库使用笔记(一)_gd32e23 开发环境-程序员宅基地

文章浏览阅读550次,点赞10次,收藏6次。GD32官方的开发环境(基于Eclipse)的使用。_gd32e23 开发环境

推荐文章

热门文章

相关标签