密碼策略
密碼有效期控制
在文件/etc/login.defs中進行設置,如下參數
PASS_MAX_DAYS 180 #密碼最長過期天數
PASS_MIN_DAYS 30 #密碼最小過期天數
PASS_MIN_LEN 12 #密碼最小長度
PASS_WARN_AGE 20 #密碼過期警告天數
設置最小密碼長度:(不少於8個字符)
authconfig --passminlen=8 --update
測試查看是否更新成功:
grep "^minlen" /etc/security/pwquality.conf
設置同一類的允許連續字符的最大數目:
authconfig --passmaxclassrepeat=4 --update
測試查看是否更新成功:
grep "^maxclassrepeat" /etc/security/pwquality.conf
新密碼中至少需要一個小寫字符:
authconfig --enablereqlower --update
測試查看是否更新成功:
grep "^lcredit" /etc/security/pwquality.conf
新密碼中至少需要一個大寫字符:
authconfig --enablerequpper --update
測試查看是否更新成功:
grep "^ucredit" /etc/security/pwquality.conf
新密碼中至少需要一個數字:
authconfig --enablereqdigit --update
測試查看是否更新成功:
grep "^dcredit" /etc/security/pwquality.conf
新密碼包括至少一個特殊字符:
authconfig --enablereqother --update
測試查看是否更新成功:
grep "^ocredit" /etc/security/pwquality.conf
為新密碼設置hash/crypt算法(默認為sha512):
查看當前算法:authconfig --test | grep hashing
直接編輯 /etc/security/pwquality.conf 這個文件 添加上述參數也是可以的
如果想讓上述密碼策略同樣適用於root用戶,那么就需要編輯文件
# vim /etc/pam.d/system-auth 文件,找到 password requisite pam_pwquality.so 這一行,添加如下語句
#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 enforce_for_root
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 enforce_for_root minlen=8 ucredit=-1 lcredit=-1 ocredit=-1
登錄失敗的用戶鎖定策略配置
#vi /etc/pam.d/sshd
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300
設置SSH登錄超時時間
1. /etc/ssh/sshd_config文件中的ClientAliveInterval參數。
2. /etc/profile文件中有無TMOUT環境變量設置。 例如:export TMOUT=180
3. 自己賬戶的.profile文件中,有無TMOUT環境變量。例如:export TMOUT=180