Linux設定口令複雜度和口令定期更換策略

lizhiqiang666發表於2020-12-03

Linux 密碼複雜度設定pam_pwquality、pam_passwdqc(centos7)
1.Linux對應的密碼策略模組有:pam_passwdqc 和 pam_pwquality 。

其中pam_passwdqc模組對應的是/etc/login.defs,pam_pwquality對應的是/etc/security/pwquality.conf

2.模組的新增方法:/etc/pam.d/passwd

password required pam_pwquality.so retry=3

3.模組的配置方法有兩種:

(1) /etc/pam.d/system-auth

password required pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0

(2) /etc/security/pwquality.conf

retry=N:定義登入/修改密碼失敗時,可以重試的次數;
Difok=N:定義新密碼中必須有幾個字元要與舊密碼不同。但是如果新密碼中有1/2以上的字元與舊密碼不同時,該新密碼將被接受;
minlen=N:定義使用者密碼的最小長度;
dcredit=N:定義使用者密碼中必須包含多少個數字;
ucredit=N:定義使用者密碼中必須包含多少個大寫字母;
lcredit=N:定義使用者密碼中必須包含多少個小些字母;
ocredit=N:定義使用者密碼中必須包含多少個特殊字元(除數字、字母之外);

  1. /etc/login.defs詳解

PASS_MAX_DAYS 99999 #密碼的最大有效期, 99999:永久有期
PASS_MIN_DAYS 0 #是否可修改密碼,0可修改,非0多少天后可修改
PASS_MIN_LEN 5 #密碼最小長度,使用pam_cracklib module,該引數不再有效
PASS_WARN_AGE 7 #密碼失效前多少天在使用者登入時通知使用者修改密碼

作者:SkTj
連結:www.jianshu.com/p/3393008e37d9
來源:簡書
著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。

6.實際生產環境配置

cat /etc/security/pwquality.conf

minlen = 8
minclass = 1
maxrepeat = 0
maxclassrepeat = 4
lcredit = -1
ucredit = -1
dcredit = -1
ocredit = -1
difok=5

cat /etc/login.defs:

PASS_MAX_DAYS 90
PASS_MIN_LEN 12
PASS_MIN_DAYS 7
PASS_WARN_AGE 30
UMASK 077

本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章