密碼策略介紹
密碼策略是操作系統針對系統安全提供的一種安全機制,就好像linux操作系統不提供超級用戶登錄一樣,密碼策略包括:密碼最小長度、密碼使用期限、歷史密碼、密碼復雜度等,在企業里面都是要求對操作系統進行密碼策略進行配置的,而且要求密碼復雜度。企業中做等級保護測評2級以上都是要求有密碼策略的,之前我有過一次做等保測評師的經歷,在企業里面幾乎沒有任何一個企業在使用這個密碼策略,很郁悶不知道是工程師們不知道還是什么原因,在這里我就為大家簡單介紹一下如何設置密碼策略
根據相關要求密碼需要滿足以下幾點要求:
- 用戶有責任和義務妥善保管其個人帳號和密碼,不得在任何場合隨意公開自己的帳號和密碼,不得泄漏他人。由於密碼泄漏造成的不良后果由帳號擁有人承擔相關責任
- 密碼長度不得少於6位
- 密碼由數字、標點、大小寫字母和特殊符號組成,並具有必要的組合復雜度,禁止使用連續或相同的數字、字母組合(如123456等)和其他易於破譯的組合作為密碼。
- 密碼不得以任何形式的明文存放在主機電子文檔中,不得以明文形式在電子郵件、傳真中傳播。
- 系統管理人員在建立帳號時,對所分配帳號的初始密碼設置為第一次登錄強制修改。對於不能強制修改密碼的系統,系統管理員創建帳號后立即通知用戶修改密碼,用戶在第一次登錄系統並修改密碼之后反饋系統管理員,並由系統管理員進行復核。
- 用戶應定期(至少每季度一次)進行密碼的修改,並且同一密碼不能反復使用。
。。。。。。。。。。。。。。等,具體要求可以查看等保2.0密碼技術應用分析
windows設置密碼策略
windows密碼策略有以下這些設置:
- 密碼必須符合復雜性要求
- 密碼長度最小值
- 密碼最短使用期限
- 密碼最長使用期限
- 強制密碼歷史
- 用可還原的加密存儲密碼
接下來對這些配置進行修改
打開管理工具
打開本地安全策略-賬戶策略-密碼策略
然后就可以根據自己的需求去進行調整,下面是我推薦大家進行設置的,僅供參考
Linux系統設置密碼策略
對於linux可能大家都很少知道有密碼策略這回事吧,好多人都認為linux安全機制已經很強大了,而且大多數linux采用可插拔密碼認證來加強密碼的安全策略,下面就來說說linux的密碼策略,linux密碼策略要比windows密碼策略要強大許多
linux密碼策略有以下設置:
- 密碼的最大有效期
- 密碼最長使用時間
- 密碼最小長度
- 密碼失效前提前多少天進行提醒
- 密碼大小寫以及數字、特殊字符等限制
- 新舊密碼不能相同
- 新舊密碼長度不能相同
- 賬號鎖定時間
- 賬號自動解鎖時間
密碼策略配置文件路徑:
- 在centos/redhat等系統中路徑:
/etc/pam.d/system-auth - ubuntu等系統中路徑:
/etc/pam.d/common-password
文件內容如下:(版本不同,內容有一些差別)
# /etc/pam.d/common-password - password-related modules common to all services
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
# used to change user passwords. The default is pam_unix.# Explanation of pam_unix options:
# The "sha512" option enables salted SHA512 passwords. Without this option,
# the default is Unix crypt. Prior releases used the option "md5".
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs.
# See the pam_unix manpage for other options.# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. See
# pam-auth-update(8) for details.# here are the per-package modules (the "Primary" block)
password [success=1 default=ignore] pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
密碼過期時間以及有效期等配置文件:/etc/login.defs,文件部分內容:
PASS_MAX_DAYS:一個密碼可使用的最大天數。
PASS_MIN_DAYS:兩次密碼修改之間最小的間隔天數。
PASS_MIN_LEN:密碼最小長度。
PASS_WARN_AGE:密碼過期前給出警告的天數
下面為大家舉例說明linux用戶密碼策略:
- 設置密碼最大使用時間(PASS_MAX_DAYS)
這個用來限制密碼最大可以使用的天數。時間到了會強制進行密碼鎖定。如果忘記修改,那么就無法登錄系統。需要使用管理員賬戶進行解鎖后才能繼續使用。這個可以在 /etc/login.defs 文件中的PASS_MAX_DAYS參數設置。在企業中一般把這個值設置為30天,也就是一個月修改一次密碼。
root@test:/etc# vim login.defs
PASS_MAX_DAYS 30 //單位為天數
- 設置密碼最小天數(PASS_MIN_DAYS)
這個是限制多長時間無法進行密碼修改。當值為15時,表示15天內無法修改密碼,也就是兩次密碼修改中間最少隔15天,這個可以在 /etc/login.defs 文件中PASS_MIN_DAYS參數設置。企業中一般不對此項進行控制,這個根據自己需求進行修改,我這里設置10天。
root@test:/etc# vim login.defs
PASS_MIN_DAYS 10 //單位為天數
- 設置密碼過期前警告(
PASS_WARN_AGE)
這個用來提醒用戶該進行密碼修改了,也就是在密碼即將過期的時候,會給用戶一個警告提示,在未到最大密碼使用時間,會每天進行提醒,這可以提醒用戶在密碼過期前修改他們的密碼,否則我們就需要聯系管理員來解鎖密碼。這個可以在 /etc/login.defs 文件中PASS_WARN_AGE參數設置。 這個企業中一般設置為3天,我這里就設置為3天
root@test:/etc# vim login.defs
PASS_WARN_AGE 3 //單位為天數
- 避免重復使用舊密碼
這個用來防止更改密碼時設置為舊密碼,尋找同時包含“password”和"pam_unix.so"的行,然后再這行后面加上“remember=天數”。這將防止N個最近使用過的密碼被用來設置為新密碼,這個配置文件是在 /ect/pam.d/common-password 文件中(主要,centos/redhat需要修改:/etc/pam.d/system-auth文件),這個在企業中一般設置為5,我這里就設置5
ubuntu:
root@test/etc# vim pam.d/common-password
password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5
centos/redhat:
root@test/etc# vim pam.d/common-password
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
- 設置密碼復雜度
這個用來控制密碼的復雜程度的,應安全性要求,企業里面要求大小寫、特殊字符、數字等最受三個進行組合並且長度最少為8。尋找同時包含“password”和“pam_cracklib.so”的一行,並在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。這將迫使你在密碼中至少包括一個大寫字母、兩個小寫字母、一個數字和一個符號。
ubuntu:
root@test/etc# vim pam.d/common-password
password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
centos/redhat:
[【華為雲-精選30+雲服務產品助力好友上雲】](https://activity.huaweicloud.com/1212_promotion/index.html?fromacct=c76cea9f-f106-4938-a195-0df9b712c327&utm_source=V1g3MDY4NTY=&utm_medium=cps&utm_campaign=201905adp=1.3.1.1&adc=2.2) root@test/etc# vim pam.d/system-auth
password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1