在Linux中设置用户密码策略,通常涉及两个主要的配置文件:/etc/和/etc//system-auth。以下是如何设置这些策略的步骤:
设置密码有效期和最小长度:编辑/etc/文件,可以设置密码的最小长度、密码过期时间、密码历史等。例如:
PASS_MAX_DAYS90两次修改密码的最小间隔时间,0表示可以随时修改账号密码。PASS_MIN_LEN8密码过期前多少天开始提示。
这些设置会立即生效,但只对修改后创建的用户生效。
设置密码复杂度:编辑/etc//system-auth文件,可以设置密码复杂度规则。例如,设置密码必须包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符,并且密码长度至少为8:
passwordrequisitepam__first_passlocal_users_onlyretry=3authtok_type=minlen=8lcredit=-1ucredit=-1dcredit=-1ocredit=-1enforce_for_root
其中,retry=3定义登录/修改密码失败时可以重试的次数;minlen=8定义用户密码的最小长度为8位;lcredit=-1、ucredit=-1、dcredit=-1和ocredit=-1分别定义密码中最少包含的小写字母、大写字母、数字和特殊字符的数量。
设置登录失败锁定策略:编辑/etc//system-auth文件,可以设置登录失败后的锁定策略。例如,输错5次密码,账号锁定10分钟:
authrequiredpam_=faildeny=5unlock_time=600root_unlock_time=600
此项配置只对控制台有效,ssh无效。如果需要对ssh远程有效,则需要修改/etc//sshd。
设置密码历史策略:可以在/etc//system-auth文件中设置密码历史策略,禁止用户使用最近用过的旧密码:
passwordsufficientpam__first_passuse_authtokremember=5
这里remember=5表示禁止使用最近用过的5个密码。
注意,修改这些配置文件需要root权限,并且更改只对新创建的用户生效。对于现有用户,需要手动更新其密码策略设置。
免责声明:本文章如果文章侵权,请联系我们处理,本站仅提供信息存储空间服务如因作品内容、版权和其他问题请于本站联系