linux用户密码策略.docVIP

Linux用户密码策略 作者： 日期：2010-6-7 10:42:23 出处：淘特网 第 HYPERLINK /site_tutorial/24/html/2010067/20100607104223.htm [1] HYPERLINK /site_tutorial/24/html/2010067/20100607104223_1.htm [2] 页 系统版本: Red Hat Enterprise Linux AS release 4 Linux用户密码策略 ??? Linux用户密码的有效期,是否可以修改密码可以通过login.defs文件控制.对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令. ??? Linux用户密码的复杂度可以通过pam pam_cracklib module或pam_passwdqc module控制,两者不能同时使用. 个人感觉pam_passwdqc更好用. ? /etc/login.defs密码策略 PASS_MAX_DAYS?? 99999???? #密码的最大有效期, 99999:永久有期 PASS_MIN_DAYS?? 0????????? #是否可修改密码,0可修改,非0多少天后可修改 PASS_MIN_LEN??? 5?? ???????#密码最小长度,使用pam_cracklib module,该参数不再有效 PASS_WARN_AGE?? 7???????? #密码失效前多少天在用户登录时通知用户修改密码 pam_cracklib主要参数说明: ??? tretry=N:重试多少次后返回密码修改错误 ??? difok=N:新密码必需与旧密码不同的位数 ??? dcredit=N: N = 0:密码中最多有多少个数字;N 0密码中最少有多少个数字. ??? lcredit=N:小宝字母的个数 ??? ucredit=N大宝字母的个数 ??? credit=N:特殊字母的个数 ??? minclass=N:密码组成(大/小字母,数字,特殊字符) ? pam_passwdqc主要参数说明: mix:设置口令字最小长度，默认值是mix=disabled。 max:设置口令字的最大长度，默认值是max=40。 passphrase:设置口令短语中单词的最少个数，默认值是passphrase=3，如果为0则禁用口令短语。 atch:设置密码串的常见程序，默认值是match=4。 similar:设置当我们重设口令时，重新设置的新口令能否与旧口令相似，它可以是similar=permit允许相似或similar=deny不允许相似。 random:设置随机生成口令字的默认长度。默认值是random=42。设为0则禁止该功能。 enforce:设置约束范围，enforce=none表示只警告弱口令字，但不禁止它们使用；enforce=users将对系统上的全体非根用户实行这一限制；enforce=everyone将对包括根用户在内的全体用户实行这一限制。 non-unix:它告诉这个模块不要使用传统的getpwnam函数调用获得用户信息， retry:设置用户输入口令字时允许重试的次数，默认值是retry=3 ? ? 密码复杂度通过/etc/pam.d/system-auth实施 如: 要使用pam_cracklib将注释去掉,把pam_passwdqc.so注释掉即可. #password??? requisite???? /lib/security/$ISA/pam_cracklib.so retry=3 difok=1 password??? requisite???? /lib/security/$ISA/pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3 password??? sufficient??? /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow ? #password??? requisite???? /lib/security/$ISA/pam_cracklib.so retry=3 difok=1 新密码至少有一位与原来的不同. HYPERLINK /blog/691058 Linux下的密码策略 文章分类: HYPERLINK /blogs/category/os 操作系统 ? 1、Linux系统的用户帐号策略编辑/etc/pam.d/system-auth 添加如下语句。?? auth required /lib/security/$ISA/pam_tally.so de