1. 酷盾首页
  2. 运维技巧

Linux密码策略如何修改?

酷番叔 运维技巧 阅读 123

密码策略是系统安全的核心防线,在Linux中,通过PAM(可插拔认证模块)和配置文件实现密码规则管理,以下是详细操作步骤:

修改密码复杂度要求

适用文件/etc/security/pwquality.conf/etc/pam.d/system-auth
步骤

  1. 安装复杂度工具(如未预装):

    # Debian/Ubuntu
sudo apt install libpam-pwquality
# RHEL/CentOS
sudo yum install libpwquality

  2. 编辑配置文件:

    sudo nano /etc/security/pwquality.conf

    修改关键参数:

    minlen = 10     # 密码最小长度
minclass = 3    # 至少包含3类字符(数字/大写/小写/符号)
dcredit = -1    # 至少1个数字
ucredit = -1    # 至少1个大写字母
lcredit = -1    # 至少1个小写字母
ocredit = -1    # 至少1个特殊符号

  3. 生效配置:
    保存后立即生效,新密码创建时自动应用规则。

设置密码有效期

配置文件/etc/login.defs
步骤

  1. 编辑全局策略:

    sudo nano /etc/login.defs

    修改以下参数:

    PASS_MAX_DAYS 90   # 密码最长有效期
PASS_MIN_DAYS 7    # 密码修改间隔
PASS_WARN_AGE 14   # 过期前提醒天数

  2. 应用到现有用户

    sudo chage -M 90 -m 7 -W 14 用户名

密码历史与重复使用限制

配置文件/etc/pam.d/common-password (Debian) 或 /etc/pam.d/system-auth (RHEL)
步骤
在PAM配置中添加:

password required pam_unix.so remember=5 use_authtok sha512 shadow

remember=5 表示禁止使用最近5次用过的密码。

账户锁定策略(防暴力破解)

配置文件/etc/pam.d/common-auth/etc/pam.d/system-auth
步骤
添加以下行(示例:5次失败锁定10分钟):

auth required pam_faillock.so preauth silent audit deny=5 unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=5

策略验证与测试

  1. 检查用户密码策略: 
    sudo chage -l 用户名  # 查看有效期
  2. 测试复杂度规则: 
    echo "新密码" | sudo pwscore  # 返回强度分数
  3. 模拟登录失败: 
    sudo pam_tally2 --user=用户名  # 查看失败次数

发行版差异说明

功能 Debian/Ubuntu RHEL/CentOS
密码复杂度配置 /etc/pam.d/common-password /etc/security/pwquality.conf
PAM模块名称 pam_pwquality.so pam_pwquality.so
账户锁定工具 pam_tally2 faillock

安全建议

  1. 定期更新策略:每6个月审查一次密码规则
  2. 特权账户强化:对root用户设置更短的有效期(如30天)
  3. 日志监控:定期检查/var/log/auth.log(Debian)或/var/log/secure(RHEL)
  4. 避免频繁锁定:生产环境中谨慎设置deny=值,防止误锁

重要提示:修改策略前备份配置文件!误操作可能导致所有用户无法登录:

sudo cp /etc/pam.d/common-password ~/backup_common-password

Linux密码策略通过多层配置实现:

  1. 复杂度控制pwquality.conf 定义字符要求
  2. 生命周期管理login.defs + chage 命令
  3. 历史记录:PAM的remember参数
  4. 防暴力破解pam_faillock 模块

定期审计策略有效性是维护系统安全的关键,企业环境建议结合LDAP或FreeIPA集中管理密码策略。

引用说明基于Linux man-pages (pwquality.conf(5), pam_pwquality(8))、Red Hat官方文档及Ubuntu安全指南,测试环境为Ubuntu 22.04 LTS和CentOS 7.9,操作前请确认您的发行版版本,部分参数路径可能略有差异。

原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/4378.html

(0)
酷番叔酷番叔
0
上一篇 2025年6月13日 13:37
下一篇 2025年6月13日 13:55

相关推荐

  • Linux下Abaqus如何正确启动?详细步骤有哪些? 运维技巧

    Linux下Abaqus如何正确启动?详细步骤有哪些?

    在Linux操作系统下启动Abaqus(现为SIMULIA by Dassault Systèmes)需要结合环境配置、命令操作及特定场景需求,以下是详细启动流程及注意事项,涵盖图形界面、命令行、脚本自动化及集群环境等多种方式,启动前的环境准备Abaqus在Linux下的正常运行依赖于正确的环境配置,需确保以下……

    2025年9月25日
    6100
  • Linux查看错误日志的命令有哪些? 运维技巧

    Linux查看错误日志的命令有哪些?

    Linux系统中的错误日志是排查问题、监控系统运行状态的重要依据,通过查看日志可以快速定位故障原因,无论是系统内核错误、服务异常还是应用程序崩溃,都会在日志中留下记录,本文将详细介绍Linux查看错误日志的多种方法,包括常用命令、日志文件位置及高级过滤技巧,帮助用户高效获取错误信息,系统日志文件:错误信息的集中……

    2025年9月18日
    6300
  • Ubuntu升级24.04卡住?速解方案 运维技巧

    Ubuntu升级24.04卡住?速解方案

    在Linux系统中,使用telnet测试服务器端口连通性是网络故障排查的常用手段,以下为详细操作指南,所有步骤均基于主流Linux发行版(如Ubuntu、CentOS)验证,确保专业性和可靠性:Telnet的作用与原理功能:telnet是TCP/IP协议族中的终端仿真协议,通过建立TCP连接测试目标服务器的端口……

    2025年7月1日
    10000
  • 禁用IPv6能解决服务器问题? 运维技巧

    禁用IPv6能解决服务器问题?

    为什么需要启用 IPv6?IPv6 是下一代互联网协议,解决了 IPv4 地址枯竭问题,提供更大的地址空间(如 2001:db8::1)、更高的安全性和效率,随着全球 IPv4 地址耗尽,启用 IPv6 已成为网络优化的关键步骤,本指南将详细介绍在 Linux 系统中启用 IPv6 的方法,检查当前 IPv6……

    2025年6月23日
    10700
  • 如何选装Linux系统不踩坑? 运维技巧

    如何选装Linux系统不踩坑?

    Linux作为开源、稳定且高度可定制的操作系统,是开发者的首选平台之一,无论是Web开发、系统编程还是人工智能领域,Linux都提供了强大的工具链和开发环境,本文将详细指导你从零开始搭建Linux开发环境,涵盖工具选择、环境配置及最佳实践,帮助开发者高效工作,发行版选择初学者推荐:Ubuntu(用户友好,社区支……

    2025年6月18日
    12400

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

联系我们

400-880-8834

在线咨询: QQ交谈

邮件:HI@E.KD.CN

关注微信
首页
联系我们