投稿
  1. 首页
  2. 教程

如何在 Linux 上设置密码策略?

电信网速测试 2023-5-15 教程 阅读 17

如何在 Linux 上设置密码策略?,第1张

Linux是一套免费使用和自由传播的类Unix *** 作系统,是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的 *** 作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络 *** 作系统。在 Linux 上设置密码策略,分三个部分,具体是:

1、准备。安装一个PAM模块来启用cracklib支持,这可以提供额外的密码检查功能。在Debin,Ubuntu或者Linux Mint使用命令:

sudo apt-get install libpam-cracklib  这个模块在CentOS,Fedora或者RHEL默认安装了。所以在这些系统上就没有必要安装了。如要强制执行密码策略,我们需要修改/etc/pam.d这个与身份验证相关的文件。这个文件会在修改后立即生效。

2、设置最小密码长度。寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“minlen=10”。这将强行设置密码的最小密码长度为10位,其中<# of types>多少个不同类型的字符在密码中使用。有四种符号类型(大写、小写、数字和符号)。所以如果使用所有四种类型的组合,并指定最小长度为10,所允许的简单密码部分将是6位。

在Debin,Ubuntu或者Linux Mint使用命令:

sudo  vi  /etc/pam.d/common-password

修改内容:

password   requisite    pam_cracklib.so retry=3 minlen=10 difok=3

在Fedora,CentOS或RHEL使用命令:

sudo  vi  /etc/pam.d/system-auth

3、设置密码复杂度。寻找同时包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。

在Debin,Ubuntu或者Linux Mint使用命令:

sudo  vi  /etc/pam.d/common-password

修改内容:password   requisite    pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

修改/etc/login.defs里面的PASS_MIN_LEN的值。比如限制用户最小密码长度是8:

PASS_MIN_LEN 8

这样用户设置密码的时候如果输入的密码长度小于8将不能设置

修改Linux系统用户密码长度和复杂性

之前在修改linux密码长度的时候都是去修改/etc/login.defs文件的pass_min_len 参数,可是地球人都知道,这个参数根本不具备强制性,用户一样可以使用短密码.

真正要对密码复杂性进行限制,还需要cracklib来完成.

红帽的系统一般都已经安装了, 可以rpm -qa|grep crack来查看,一般是两个包

cracklib参数主要有:

1.debug

用于syslog日志记录

2.type=abcd

当修改密码时,典型的提示信息是:

New linux password:

Retype Linux password:

可以通过abcd来替换linux这个单词

3.retry=3

用户有几次出错的机会

4.difok=5

新密码中至少有几个字符是和以前的密码不同的.

5.difignore=3

忽略新密码中不同字符之前的几个字母.

6.minlen=8

最小密码长度

7.dcreditr=5

密码中最多几个数字

8.ucredit=5

密码中最多几个大些字母.

9.lcredit=5

新密码中最多几个消协字母

10.ocredit=5

新密码中最多几个特殊字符

11.use_authtok

使用密码字典中的密码

cracklib密码强度检测过程

首先检查密码是否是字典的一部分,如果不是,则进行下面的检查

|

|

/|/

密码强度检测过程

|

|

/|/

新密码是否旧密码的回文

|

|

/|/

新密码是否只是就密码改变了大小写

|

|

/|/

新密码是否和旧密码很相似

|

|

/|/

新密码是否太短

|

|

/|/

新密码的字符是否是旧密码字符的一个循环

例如旧密码:123

新密码:231

|

|

/|/

这个密码以前是否使用过

配置样例:

/etc/pam.d/system-auth

修改

password requisite /lib/security/$ISA/pam_cracklib.so retry=3

password requisite /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 difok=5

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/tougao/11326618.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
电信网速测试 电信网速测试 一级用户组
0 0
上一篇 2023-05-15
下一篇 2023-05-15

发表评论

登录后才能评论

评论列表(0条)

保存