日期:2014-05-16 浏览次数:20818 次
?
1、Linux系统的用户帐号策略
编辑/etc/pam.d/system-auth 添加如下语句。
?? auth required /lib/security/$ISA/pam_tally.so deny=5
?? account required pam_tally.so
该语句的解释:密码最大联系登录6次,超过只能联系管理员。
?
2、密码策略
??? 2.1编辑/etc/login.defs? 指定如下参数的值。
???????? PASS_MAX_DAYS?? 99999
???????? PASS_MIN_DAYS?? 0
???????? PASS_MIN_LEN??? 5
???????? PASS_WARN_AGE?? 7
???????? 参数值得解释: PASS_MAX_DAYS(设置密码过期日期)
????????????? PASS_MIN_DAYS(设置密码最少更改日期)
????????????? PASS_MIN_LEN(设置密码最小长度)时指密码设置的最小长度,一般定义为8位以上
????????????? PASS_WARN_AGE(设置过期提前警告天数)
???? 2.2 设置账户锁定登陆失败锁定次数、锁定时间
???????? 编辑/etc/pam.d/system- auth?? 首先? cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak?????
???????? #vi /etc/pam.d/system-auth
???????? auth required pam_tally.so onerr=fail deny=6 unlock_time=300
???????? 解释:设置位密码连续六次锁定,锁定时间300秒
???????? 解锁用户 faillog -u <用户名》 -r
???? 2.3 设置口令的复杂程度。
???????? 编辑/etc/pam.d/system- auth?? 首先? cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
???????? #vi /etc/pam.d/system-auth
???????? 找到pam_cracklib.so? 在后面加一些参数,
???????? 例:password??? requisite???? pam_cracklib.so? minlen=8 ucredit=-2?? lcredit=-2?? dcredit=-5??? ocredit=-1
???????? 意思为最少有2个大写字母,2个小写字符,5个数字, 1个符号
???? 2.4 限制su的权限
???????? 如果你不想任何人能够用su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:
?????? auth sufficient /lib/security/pam_rootok.so debug
?????? auth required /lib/security/pam_wheel.so group=isd
???? 这时,仅isd组的用户可以用su作为root。此后,如果你希望用户admin能够用su作为root,可以运行如下命令
?????????? # usermod -G10 admin
?
?
?