答案:Linux密码策略通过PAM模块和配置文件设置密码复杂度、有效期、重复使用限制及账户锁定规则,提升系统安全。具体包括:1. 配置pam_pwquality.so实现最小长度8位、含大小写字母、数字、特殊字符,允许输错3次;2. 修改/etc/login.defs设置密码最长使用90天、最短7天后可改、到期前7天提醒,已有用户用chage命令调整;3. PAM中启用remember=5防止重复使用最近5次密码;4. 使用pam_tally2.so实现登录失败5次锁定账户15分钟,支持root账户;5. 通过passwd、chage命令及日志文件验证策略生效。操作前需备份配置文件,避免误配导致锁定。
Linux系统的密码策略配置是保障系统安全的重要环节。通过合理设置密码复杂度、有效期、失败尝试限制等规则,能有效防止暴力破解和弱口令带来的风险。以下是Linux密码策略配置的详细指南,适用于主流发行版如CentOS、RHEL、Ubuntu等。
1. 配置密码复杂度要求
密码复杂度由PAM(Pluggable Authentication Modules)模块控制,主要通过pam_pwquality(旧版本为pam_cracklib)实现。
编辑配置文件:
sudo vi /etc/pam.d/common-password(Ubuntu) sudo vi /etc/pam.d/system-auth(RHEL/CentOS)添加或修改如下行:
password requisite pam_pwquality.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1参数说明:
- retry=3:允许输错3次
- minlen=8:最小长度为8位
- ucredit=-1:至少包含1个大写字母
- lcredit=-1:至少包含1个小写字母
- dcredit=-1:至少包含1个数字
- ocredit=-1:至少包含1个特殊字符
也可将策略写入/etc/security/pwquality.conf中统一管理。
2. 设置密码有效期
通过/etc/login.defs文件控制用户密码的生命周期。
sudo vi /etc/login.defs修改以下参数:
- PASS_MAX_DAYS 90:密码最长使用90天
- PASS_MIN_DAYS 7:修改密码后至少7天才能再次修改
- PASS_WARN_AGE 7:密码到期前7天开始提醒
注意:这些设置仅对新创建用户生效。要修改已有用户的密码策略,使用命令:
chage -M 90 -m 7 -W 7 username3. 限制密码重复使用
防止用户循环使用旧密码,提升安全性。
编辑PAM配置文件:
sudo vi /etc/pam.d/system-auth(RHEL/CentOS) sudo vi /etc/pam.d/common-password(Ubuntu)在pam_pwquality.so行之后添加:
password sufficient pam_unix.so use_authtok nullok remember=5
其中remember=5表示记住最近5次密码,不允许重复使用。
4. 账户锁定策略(登录失败限制)
防止暴力破解,可通过PAM配置账户锁定机制。
sudo vi /etc/pam.d/common-auth(Ubuntu) sudo vi /etc/pam.d/system-auth(RHEL/CentOS)添加以下行:
auth required pam_tally2.so deny=5 unlock_time=900 even_deny_root含义:
- deny=5:连续失败5次锁定账户
- unlock_time=900:900秒(15分钟)后自动解锁
- even_deny_root:root账户也受此规则限制
查看某用户失败次数:
pam_tally2 --user=username手动解锁用户:
pam_tally2 --user=username --reset部分系统使用pam_faillock.so,配置方式略有不同。
5. 检查与验证配置
配置完成后,建议进行测试验证。
- 尝试修改密码,检查是否符合复杂度要求
- 使用错误密码登录多次,确认账户是否被锁定
- 运行passwd --status username查看密码状态
- 使用chage -l username查看密码有效期信息
日志排查可查看/var/log/secure或/var/log/auth.log中的认证记录。
基本上就这些。合理配置Linux密码策略能显著提升系统安全性,建议结合组织安全策略定期审查和更新规则。操作时注意备份原始配置文件,避免误配导致无法登录。
