一、密碼復雜度配置
1、備份原有配置文件
cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
2、設置復雜度策略
vim /etc/pam.d/system-auth
找到包含pam_pwquality.so模塊的行,將原有行注釋並修改為如下的新配置,密碼長度最少12位,至少包含一個大寫字母,一個小寫字母,一個數字,一個特殊符號。
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
參考:http://www.zhuyibing.com/?id=103
https://blog.csdn.net/allway2/article/details/103713430
二、賬戶鎖定策略(目標連續輸錯密碼m次,限制登陸了n分鍾)
rhel8 已經沒有 pam_tally2.so 模塊了,全面使用 pam_faillock.so,能看得出兩個文件都是被包含在其他文件內,所以改這兩個,其他程序都會生效。其中我們用得最多的sshd 則是包含了password-auth,沒有包含system-auth,所以按網上只知道改system-auth則不會讓 ssh登錄受到限制.
vim /etc/pam.d/system-auth
找到兩個文件 auth 段第一個 pam_unix.so centos8.1 該行是: auth sufficient pam_unix.so nullok try_first_pass 前面加 auth requisite pam_faillock.so preauth even_deny_root deny=2 unlock_time=60 后面加 auth [default=die] pam_faillock.so authfail even_deny_root deny=2 unlock_time=60 auth sufficient pam_faillock.so authsucc even_deny_root deny=2 unlock_time=60 原文鏈接:https://blog.csdn.net/cloudfantasy/article/details/108305876
示例:連續錯誤3次,禁止登錄600秒
三、登錄連接超時自動斷開vim /etc/profile
TMOUT=600