日期:2014-05-16  浏览次数:20741 次

linux 下口令安全设置

1、Linux系统的用户帐号策略

编辑/etc/pam.d/system-auth 添加如下语句。

?? auth??????? required????? /lib/security/$ISA/pam_tally.so deny=5

?? account required pam_tally.so

该语句的解释:密码最大联系登录6次,超过只能联系管理员。

?

2、密码策略

?

??? 2.1编辑/etc/login.defs? 指定如下参数的值。

?

?? ????? PASS_MAX_DAYS ? 99999

?? ??? ??PASS_MIN_DAYS ? 0

?? ??? ??PASS_MIN_LEN? ? 5

?? ???? ?PASS_WARN_AGE ? 7

?

???????? 参数值得解释:?PASS_MAX_DAYS(设置密码过期日期)?

???????????? ?PASS_MIN_DAYS(设置密码最少更改日期)

????????????? PASS_MIN_LEN(设置密码最小长度)时指密码设置的最小长度,一般定义为8位以上

????????????? PASS_WARN_AGE(设置过期提前警告天数)

?

?????2.2?设置账户锁定登陆失败锁定次数、锁定时间

?

?????????编辑/etc/pam.d/system-auth???首先? cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak??????

????????

???????? #vi /etc/pam.d/system-auth

??????? ?auth required pam_tally.so onerr=fail deny=6 unlock_time=300

??????? ?解释:设置位密码连续六次锁定,锁定时间300秒?

????????

?????????解锁用户 faillog -u <用户名》 -r

?????????

?

???? 2.3 设置口令的复杂程度。

????????

?????????编辑/etc/pam.d/system-auth???首先? cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak

?

?????????#vi /etc/pam.d/system-auth

?????????找到pam_cracklib.so??在后面加一些参数,

?????? ??例:password? ? requisite? ???pam_cracklib.so??minlen=8 ucredit=-2? ?lcredit=-2? ?dcredit=-5? ? ocredit=-1

???????? 意思为最少有2个大写字母,2个小写字符,5个数字, 1个符号

?

???????2.4 限制su的权限

?

?????????如果你不想任何人能够用su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:

  ???????auth sufficient /lib/security/pam_rootok.so debug
  ???????auth required /lib/security/pam_wheel.so group=isd

  ???????这时,仅isd组的用户可以用su作为root。此后,如果你希望用户admin能够用su作为root,可以运行如下命令

?????????? # usermod -G10 admin