虽然Linux被认为是一个安全的操作系统,但其安全性与登录用户密码的强度成正比。设置密码策略以确保用户拥有强密码。作为Linux用户,您应该注意执行这些策略以防止违规行为的发生。您绝对不希望用户配置可以在几秒钟内被黑客暴力破解的弱密码或易于猜测的密码。在本文中,我们将描述如何在Linux中实施密码策略。我们将介绍密码策略的实施,例如密码过期、密码复杂性和密码长度。在Ubuntu/Debian中执行密码策略执行密码策略主要有两种方法,让我们详细了解一下。(1)配置密码的最大天数首先,可以配置一个密码策略,要求用户在一定天数后修改密码。最佳实践表明,应定期更改密码,以保持恶意用户的平衡,并使他们更难侵入您的系统。这不仅适用于Linux,也适用于Windows和macOS等其他系统。要在Debian/Ubuntu中实现这一点,您需要修改/etc/login.defs文件,找到PASS_MAX_DAYS属性,默认设置为99999天,如下所示。您可以将其修改为合理的期限,例如30天。30天后,您将被迫创建另一个密码。(2)使用pam配置密码复杂度确保密码满足一定的复杂度也很重要,进一步阻止黑客使用暴力破解进入你的系统。一般来说,强密码应该是大写、小写、数字和特殊字符的组合,长度至少为12-15个字符。要在Debian/Ubuntu中强制密码复杂性,您需要安装libpam-pwquality软件包,如下所示:默认情况下,如图:找到passwordrequisitepam_pwquality.soretry=3下面这一行,在这一行添加如下属性minlen=12maxrepeat=3ucredit=-1lcredit=-1dcredit=-1ocredit=-1difok=4reject_usernameenforce_for_root整行代码应该如图所示下面我们来解释一下这几条指令的含义:retry=3:退出前提示用户3次并返回错误minlen=12:密码不能少than12charactersmaxrepeat=3:密码最多只能包含3个重复字符ucredit=-1:密码至少包含一个大写字符lcredit=-1:密码至少包含一个小写字符dcredit=-1:密码包含至少一个数字字符ocredit=-1:密码至少包含一个特殊字符difok=3:新旧密码至少相差三倍inverseenforce_for_root:确保即使是root用户也遵守密码策略在CentOS/RHEL中强制执行密码策略要在CentOS/RHEL中实现此目的,您需要修改/etc/pam.d/system-auth或/etc/security/pwquality。conf文件打开配置文件$sudovim/etc/pam.d/system-auth找到下面一行passwordrequisitepam_pwquality.sotry_first_passlocal_users_onlyretry=3authtok_type=添加如下选项minlen=12lcredit=-1ucredit=-1dcredit=-1ocredit=-1enforce_for_root整行代码如图所示,应保存并退出该文件。当您尝试使用不符合强制策略的弱密码创建用户时,您将收到如下错误。-cloud(酷瓜云课堂-github仓库)
