linux篇-用户密码与登录安全策略设置
一、密码安全策略:
密码相关的安全策略,主要是通过 /etc/login.defs 与 pam_cracklib.so 实现的。
/etc/login.defs:只控制了账号密码的有效期和最小长度。修改完/etc/login.defs文件后,会立即生效,但是它只对修改后创建的用户生效。
pam_cracklib.so:该模块实现了账户密码的复杂度控制。早期用的是pam_cracklib.so模块,后来改成用pam_pwquality.so了,该模块完全兼容旧的pam_cracklib.so模块。该模块对应的配置文件路径在/etc/pam.d/目录下。
1、设置密码的有效期和最小长度
/etc/login.defs参数说明:
PASS_MAX_DAYS 90 #密码过期时间,设置90表示90天后过期,默认为99999,表示永不过期(Maximum number of days a password may be used)
PASS_MIN_DAYS 2 #两次修改密码的最小间隔时间(Minimum number of days allowed between password changes.)
PASS_MIN_LEN 8 #密码最小长度,对于root无效(Minimum acceptable password length.)
PASS_WARN_AGE 7 #Number of days warning given before a password expires.
2、设置用户密码的复杂度
可执行【man pam_cracklib】命令,查看pam_cracklib的相关控制参数说明:
minlen=N #新密码最小长度
difok=3 #允许的新、旧密码存在相同字符的个数,默认为5。
dcredit=-3 #新密码中至少包含3个数字
lcredit=-3 #新密码中至少包含3个小写字母
ucredit=-1 #新密码中至少包含1个大写字母
ocredit=-1 #新密码中至少包含1个其他符合
示例:根据不同的登录方式修改相应的文件即可,控制参数都是一样的。(添加在文件第二行)
#找到包含pam_pwquality.so模块的行,将原有行注释并修改为如下的新配置(要放在文件的第二行,也就是在#%PAM-1.0下面的一行,否则可能会不起作用)
#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 difok=3 dcredit=-3 lcredit=-3 ucredit=-1 ocredit=-1
二、登录安全策略
登录安全相关的控制策略,主要是通过 pam_tally2.so 模块实现的,比如尝试登录失败多少次就锁定用户多少分钟。同样,该模块对应的配置文件路径也是在vi /etc/pam.d/login目录下。
1、设置用户远程登录的安全策略
参数字段说明:
even_deny_root #同时也限制root用户;
deny #设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time #设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time #设定root用户锁定后,多少时间后解锁,单位是秒;
一、在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟。
执行 vi /etc/pam.d/login
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10
如果不限制root用户,则可以写成
auth required pam_tally2.so deny=3 unlock_time=5
解锁用户:
$ pam_tally2 --user <username> #查看用户登录失败次数记录
$ pam_tally2 --user <username> --reset #清空失败次数记录,即解锁用户
linux篇-用户密码与登录安全策略设置相关推荐
- linux xshell用户免密登录设置
最重要准备工作 编辑linux xshell用户免密登录设置步骤 1.在xshel进行密钥获取操作 2.创建mkdir ~/.ssh目录(检查有没有这个目录,没有自己添加) 3.在该目录创建auth ...
- linux更改用户登录密码,Linux更改用户密码
环境 RedHat Linux 9 + VWWare 7.1.2 + Putty 0.62 问题 Linux更改用户密码 解决 方法一 1.如果你是以普通用户登录的话,修改自己的密码,使用passwd ...
- linux改用户密码chpasswd,Linux chpasswd (批量或单一修改用户密码)和passwd(直接修改用户密码)...
Linux命令:chpasswd 批量或者单一修改用户密码 语法: 1:# echo 用户名:密码 | chpasswd 2:# chpasswd < doiido.txt 实例 1.直接修改d ...
- 【转载】SAP用户密码规则限制-安全策略
SAP用户密码规则限制-安全策略 有些公司因为安全方面的考虑会限制一些密码的规则,例如密码长度最短不能小于10位:必须包含大写字母.小写字母和数字以及特殊符号等.这样虽然安全强度提高了,但是对于我这种 ...
- 计算机跳过密码直接登录密码,小编传授win10免密码自动登录怎么设置 win10跳过密码直接登录电脑的操作教程...
要是你在用系统的时候遇到了win10免密码自动登录怎么设置 win10跳过密码直接登录电脑的情况你会怎么办呢?有可能我们都会遇到win10免密码自动登录怎么设置 win10跳过密码直接登录电脑这样的情 ...
- 通过命令查看linux 密码,linux查看用户密码(linux查看用户密码命令)
linux查看用户密码(linux查看用户密码命令) 2020-05-15 13:18:30 共10个回答 1.用户名和密码的存储位置存储帐号的文件:/etc/passwd存储密码的文件:/etc/s ...
- linux 配置用户密码,Linux ——用户密码相关设置
添加用户useradd your_name 添加组groupadd your_group Linux中修改用户密码 如果是root用户,直接输入passwd回车,输入新密码 如果是其他用户,输入pas ...
- 【Linux杂篇】经常登录Linux,用户密码背后的知识了解一下
一,用户密码存放在哪里? 说到这个问题,绝大部分的同学肯定都知道/etc/passwd这个文件,不错,这个文件里存储的就是用户名,密码等信息. 每一行都是一个account,每一行有7个信息,分别用 ...
- Linux篇 | 用户、组和权限(一)
用户权限和组 从安全的角度(安全3A):用户组权限的过程可分为认证.授权.审计. * Authentication:认证==> 登录的时候输入正确的用户名和密码.指纹.刷脸等来进行认证. * A ...
最新文章
- 重大要素改变中的机会选择包括_财务人员专业胜任能力要素及框架
- 我画了35张图就是为了让你深入 AQS
- 数学中各种矩阵收集(转至其他博主)
- 习题6-4 使用函数输出指定范围内的Fibonacci数 (20 分)
- java演练 谁在哪里做什么 文字小游戏开发
- vs2015社区版不支持installshield
- 聚集索引表插入数据和删除数据的方式是怎样的
- display:block jquery.sort()
- mysql 查询的关键词的执行顺序
- JavaSE生成随机数
- c++中类的默认构造函数,析构函数,拷贝构造函数
- 在linux服务器上安装jdk
- java无经验_应届生没有项目经验怎么面试?(java篇)
- 图像处理中饱和度、色调、对比度的定义
- 台式计算机套什么定额,计算机电缆套定额
- HTML5浪漫生日祝福电子贺卡网页模板(HTML5+CSS3+JS)_520表白/七夕情人节表白/告白网页制作/生日快乐html模板...
- 极狐阿尔法S 全新HI版在上海率先推送城区NCA
- 软件测试行业中ta表示什么意思,软件测试架构师(TA)的职位特点
- 【笔记】火车,航班,车牌号正则表达式(附上测试链接)
- 【Spring系列04】自动装配(Qualifier,Autowired,Resource讲解)