[aix密码设置策略.docVIP

密码猜测密码是系统最常遇到的攻击方法之一。因此，控制和监视您的密码限制策略是不可缺少的。AIX 提供机制以帮助您实施更强的密码策略，例如为以下的条目建立值： ?密码可被更改之前和之后可经过的最小和最大星期数 ?密码的最小长度 ?选择密码时，最小可使用的字母字符个数 1.设定良好的密码良好的密码是抵御未授权进入系统的第一道有效防线。2.使用 /etc/passwd 文件传统上，/etc/passwd 文件是用来记录每个拥有系统访问权的注册用户。 3.使用 /etc/passwd 文件和网络环境在传统的网络环境中，用户必须在每个系统中有一个帐户才能获得对该系统的访问权。4.隐藏用户名和密码为了达到更高级别的安全性，请确保用户标识和密码在系统内是不可见的。 5.设置建议的密码选项恰当的密码管理只有通过用户教育来实现。为提供某些额外的安全性，操作系统提供了可配置的密码限制。它们允许管理员限制用户选择的密码，并强制定期更改密码。 6.扩展密码限制密码程序接受或拒绝密码所使用的规则（密码构成限制）可由系统管理员进行扩展，以提供特定于站点的限制。 设定良好的密码良好的密码是抵御未授权进入系统的第一道有效防线。符合以下条件的密码有效： ?大小写字母的混合 ?字母、数字或标点符号的组合。此外，它们可以包含特殊字符，如 ~!@#$%^*()-_=+[]{}|\;:,.?/space ?未写在任何地方 ?如果使用 /etc/security/passwd 文件，那么长度最少为 7 个字符最大 8 个字符（像 LDAP 那样使用注册表实施的认证，可以使用超出此最大长度的密码）。 ?不是在字典中可查到的真实单词 ?不是键盘上字母的排列模式，例如 qwerty ?不是真实单词或已知排列模式的反向拼写 ?不包含任何与您自己、家庭或朋友有关的个人信息 ?不与从前一个密码的模式相同 ?可以较快输入，这样边上的人就不能确定您的密码 除了这些机制外，您还可以通过限定密码不可以包含可能猜测到的标准 UNIX 单词，从而进一步实施更严格的规则。该功能使用dictionlist，它要求您首先安装 bos.data 和 bos.txt 文件集。要实现前面定义的 dictionlist，请编辑 /etc/security/users 文件中的以下行：dictionlist = /usr/share/dict/words/usr/share/dict/words 文件使用 dictionlist 来防止使用标准的 UNIX 单词作为密码。使用 /etc/passwd 文件传统上，/etc/passwd 文件是用来记录每个拥有系统访问权的注册用户。/etc/passwd 文件以冒号分隔，它包含以下信息： ?用户名 ?已加密密码 ?用户标识号（UID） ?用户的组标识号（GID） ?用户全名（GECOS） ?用户主目录 ?登录 shell 以下是一个 /etc/passwd 文件的示例：root:!:0:0::/:/usr/bin/kshdaemon:!:1:1::/etc:bin:!:2:2::/bin:sys:!:3:3::/usr/sys: adm:!:4:4::/var/adm:uucp:!:5:5::/usr/lib/uucp: guest:!:100:100::/home/guest:nobody:!:4294967294:4294967294::/:lpd:!:9:4294967294::/:lp:*:11:11::/var/spool/lp:/bin/false invscout:*:200:1::/var/adm/invscout:/usr/bin/kshnuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucicopaul:!:201:1::/home/paul:/usr/bin/kshjdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh 缺省情况下，AIXreg; 没有像 UNIXreg; 系统那样将加密密码存储在 /etc/password 文件中，而是存储在仅 root 用户可读的 1 文件中。AIX 使用 /etc/passwd 中归档的密码来表示密码是否存在或帐户是否被阻塞。/etc/passwd 文件由 root 用户拥有，且必须对所有用户都是可读的，但只有 root 用户有写许可权，显示为 -rw-r--r--。如果用户标识具有密码，则该密码字段中会有一个 !（感叹号）。如果用户标识没有密码，