由于工作需要最近需要将公司的多台linux服务器进行密码策略的设置,主要内容是增加密码复杂度。

操作步骤如下,不会的同学可以参考:

操作前需要掌握如下几个简单的知识点:(其实不掌握也行,不过学学没坏处)

PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、HP-UX 9.0等。

PAM的配置是通过单个配置文件/etc/pam.conf。RedHat还支持另外一种配置方式,即通过配置目录/etc/pam.d/,且这种的优先级要高于单 个配置文件的方式。

1、使用配置文件/etc/pam.conf

该文件是由如下的行所组成的:
service-name module-type control-flag module-path arguments
service-name 服务的名字,比如telnet、login、ftp等,服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。
module-type 模块类型有四种:auth、account、session、password,即对应PAM所支持的四种管理方式。同一个服务可以调用多个 PAM模块进行认证,这些模块构成一个stack。
control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。它有四种可能的 值:required,requisite,sufficient,optional。
required 表示本模块必须返回成功才能通过认证,但是如果该模块返回失败的话,失败结果也不会立即通知用户,而是要等到同一stack 中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。
requisite 与required类似,该模块必须返回成功才能通过认证,但是一旦该模块返回失败,将不再执行同一stack内的任何模块,而是直 接将控制权返回给应用程序。是一个必要条件。注:这种只有RedHat支持,Solaris不支持。
sufficient 表明本模块返回成功已经足以通过身份认证的要求,不必再执行同一stack内的其它模块,但是如果本模块返回失败的话可以 忽略。可以认为是一个充分条件。
optional表明本模块是可选的,它的成功与否一般不会对身份认证起关键作用,其返回值一般被忽略。
对于control-flag,从Linux-PAM-0.63版本起,支持一种新的语法,具体可参看LinuxPAM文档。
module-path 用来指明本模块对应的程序文件的路径名,一般采用绝对路径,如果没有给出绝对路径,默认该文件在目录/usr/lib/security下面。
arguments 是用来传递给该模块的参数。一般来说每个模块的参数都不相同,可以由该模块的开发者自己定义,但是也有以下几个共同 的参数:
debug 该模块应当用syslog( )将调试信息写入到系统日志文件中。
no_warn 表明该模块不应把警告信息发送给应用程序。
use_first_pass 表明该模块不能提示用户输入密码,而应使用前一个模块从用户那里得到的密码。
try_first_pass 表明该模块首先应当使用前一个模块从用户那里得到的密码,如果该密码验证不通过,再提示用户输入新的密码。
use_mapped_pass 该模块不能提示用户输入密码,而是使用映射过的密码。
expose_account 允许该模块显示用户的帐号名等信息,一般只能在安全的环境下使用,因为泄漏用户名会对安全造成一定程度的威胁。

2、使用配置目录/etc/pam.d/(只适用于RedHat Linux)

该目录下的每个文件的名字对应服务名,例如ftp服务对应文件/etc/pam.d/ftp。如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存 在,则该服务将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成:
module-type control-flag module-path arguments
每个字段的含义和/etc/pam.conf中的相同。

由于公司使用的是RedHat的linux故此我将使用pam.d这个配置目录。密码复杂度通过/etc/pam.d/system-auth这个文件来实现的故此我们先看一下默认有什么内容然后将这个文件备份一个:

在这个文件中我们会用到pam_cracklib.so这个模块。pam_cracklib.so是一个常用并且非常重要的PAM模块。该模块主要的作用是对用户密码的强健性进行检测。即检查和限制用户自定义密码的长度、复杂度和历史等。如不满足上述强度的密码将拒绝使用。

pam_cracklib.so比较重要和难于理解的是它的一些参数和计数方法,其常用参数包括:   
debug:将调试信息写入日志;
type=xxx:当添加/修改密码时,系统给出的缺省提示符是“New UNIX password:”以及“Retype UNIX
password:”,而使用该参数可以自定义输入密码的提示符,比如指定type=your own word;
retry=N:定义登录/修改密码失败时,可以重试的次数;
Difok=N:定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时,该新密码将被接受;
minlen=N:定义用户密码的最小长度;
dcredit=N:定义用户密码中必须包含多少个数字;
ucredit=N:定义用户密码中必须包含多少个大写字母;
lcredit=N:定义用户密码中必须包含多少个小些字母;
ocredit=N:定义用户密码中必须包含多少个特殊字符(除数字、字母之外);

根据我的需要我将密码策略制定如下:必须包含至少一个小写字母、数字、特殊字符,密码长度至少7位,在system-auth文件增加如下内容,保存后退出:

(注)*credit=-1表示至少有一个的意思。

然后配置login.defs,这个文件主要是配置密码有效期,其中的PASS_MIN_LEN这个参数在我们配置了上一个文件之后在这里是不起作用的。其他

PASS_MAX_DAYS   99999     #密码的最大有效期, 99999:永久有期
PASS_MIN_DAYS   0          #是否可修改密码,0可修改,非0多少天后可修改
PASS_MIN_LEN    5          #密码最小长度,使用pam_cracklib module,该参数不再有效
PASS_WARN_AGE   7         #密码失效前多少天在用户登录时通知用户修改密码

当设置完成这些之后我们可以去验证一下系统中已经存在的用户在设置密码的时候是否会强制验证密码复杂度,如下图所示如果不符合密码复杂度会提示错误信息:

如果符合了你的密码复杂度就可以正常设置密码了。

关于linux系统密码策略的设置相关推荐

  1. win7系统更改密码策略的设置方法

    win7的密码策略关系着我们的密码格式.密码需要的字符等,如果我们设置的密码策略太过复杂,可能会让我们在使用密码时非常麻烦,但是也会让我们的密码更难被入侵,那么win7系统如何更改密码策略呢?就此问题 ...

  2. Linux系统的安装与设置

    Linux系统的安装与设置 1. 相关工具.版本介绍 2. 创建虚拟机 3. Ubuntu系统的安装 说明:文本基于DataWhale组队学习专栏任务总结 1. 相关工具.版本介绍 虚拟机 vmwar ...

  3. Linux下pppoe开机自动连接,Linux 系统 PPPoE 宽带连接设置方法

    Linux 系统 PPPoE 宽带连接设置方法 要在Linux下使用PPPOE认证方式,必须安装PPPOE客户端软件.下面说明如何进行安装: 本文以RedHat Linux 6.2为实验平台,其它平台 ...

  4. linux设置为共享文件夹,Linux系统下共享文件夹设置方法介绍

    Linux系统下共享文件夹设置方法介绍 作者 HonestQiao 2008年02月21日 16:00 首先当然是要安装samba了,呵呵: sudo apt-get install samba su ...

  5. linux系统生成的新文件是什么编码的,Linux系统的默认编码设置

    修改/etc/sysconfig/language文件,将RC_LANG, RC_LC_ALL设置为zh_CN.GB2312, 同时将ROOT_USES_LANG设置为 "yes" ...

  6. linux wordpress伪静态,wordpress程序在win和Linux系统下的伪静态设置 - 张力博客

    这是一篇很早就应该写的文章,而在昨天就有朋友问我,为什么不写一下关于wordpress的伪静态设置呢?今天这篇文章我就来跟大家说一下,关于wordpress程序在win和Linux系统下的伪静态设置方 ...

  7. 【GPS】GPS的C_GNSS_RF_ELNA_GPIO_NUM_DEFAULT配置,Linux系统中GPIO的设置

    GPS的GPIO配置文件 客户需要更改此变量C_GNSS_RF_ELNA_GPIO_NUM_DEFAULT才能覆盖NAVRF驱动程序ELNA设置. modem_proc/gps/gnss/mgp/me ...

  8. Linux系统之文件共享目录设置方法

    Linux系统之文件共享目录设置方法 一.本次实践目的 二.检查本地系统环境 1.检查系统版本 2.检查系统内核 三.创建相关用户及用户组 1.创建共享目录 2.创建测试用户账号 3.创建用户组 4. ...

  9. 7. Linux系统下在桌面设置添加安装软件启动图标快捷方式

    1. 说明 在Linux系统下安装了对应的软件之后,一般启动时需要在命令行终端中进行启动,可以在终端里设置快速启动的命令,相关设置可参考博客:Linux系统下在终端设置快速启动已安装软件. 另一种快捷 ...

最新文章

  1. 自动配置IPv4问题
  2. DFS产生的ID=13562事件
  3. yum是干什么的_什么是yum源,yum的工作原理又是什么
  4. 关于向MySQL插入一条新纪录的问题
  5. CodeIgniter配置之config
  6. 紫金计算机网络,南京理工大学紫金学院《计算机网络技术》考试复习题集试题(卷)(含答案解析)2.doc...
  7. jquery-数字渐变
  8. Spring--超简单利用quartz实现定时作业
  9. Android心电数据分析,基于Android系统的心电信号采集与分析系统设计
  10. 传奇计算机教室管理软件,联想传奇电子教室(联想电子教室软件)V15.89 官方版
  11. 人工势场法脱离极小值点
  12. 【协议分析】WAP1.x协议栈浅析-WSP协议
  13. 计算机科学与技术 未来,浅析计算机科学与技术的未来发展趋势
  14. TextMeshPro的超链接
  15. AlphaGo论文的译文,用深度神经网络和树搜索征服围棋:Mastering the game of Go with deep neural networks and tree search
  16. iis的Excel的0x80070005解决方案
  17. 程序员赚零钱食用指南
  18. Python破解加密的zip文件
  19. u-boot-2012.04.01移植到TQ2440(七):添加分区信息并启动jffs2文件系统
  20. 算法设计与分析--棋盘覆盖问题解决思想

热门文章

  1. 真太极之只言片语 (续)
  2. 迅速提高代码编写速度的训练方法
  3. 测试运行以及完整代码
  4. python 爬虫 小姐姐
  5. [闲言]小城故事之小城之晨
  6. Oracle11G数据泵expdp/impdp使用并行与压缩技术备份与恢复
  7. Linux yum命令
  8. NB-IoT介绍(PPT)
  9. 渣渣一记:)之HTML
  10. python折叠次数计算、一张纸5毫米_关于一张纸的对折次数 五