`
jialuweb
  • 浏览: 32614 次
  • 性别: Icon_minigender_1
  • 来自: 陕西西安
社区版块
存档分类
最新评论

linux安全相关

阅读更多
Linux 用户密码的有效期,是否可以修改密码可以通过login.defs 文件控制.对login.defs 文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage 命令.

Linux 用户密码的复杂度可以通过pam pam_cracklib module 或pam_passwdqc module 控制,两者不能同时使用. 个人感觉pam_passwdqc 更好用.

/etc/login.defs 密码策略
PASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期
PASS_MIN_DAYS 0 #是否可修改密码,0 可修改,非0 多少天后可修改
PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效
PASS_WARN_AGE 7 #密码失效前多少天在用户登录时通知用户修改密码
pam_cracklib 主要参数说明:
tretry=N:重试多少次后返回密码修改错误
difok=N:新密码必需与旧密码不同的位数
dcredit=N: N >= 0:密码中最多有多少个数字;N < 0 密码中最少有多少个数字.
lcredit=N:小宝字母的个数
ucredit=N 大宝字母的个数
credit=N:特殊字母的个数
minclass=N:密码组成(大/小字母,数字,特殊字符)
pam_passwdqc 主要参数说明:
mix:设置口令字最小长度,默认值是mix=disabled。
max:设置口令字的最大长度,默认值是max=40。
passphrase:设置口令短语中单词的最少个数,默认值是passphrase=3,如果为0 则禁用口令短语。
atch:设置密码串的常见程序,默认值是match=4。
similar:设置当我们重设口令时,重新设置的新口令能否与旧口令相似,它可以是similar=permit 允许相似或similar=deny 不允许相似。
random:设置随机生成口令字的默认长度。默认值是random=42。设为0 则禁止该功能。
enforce:设置约束范围,enforce=none 表示只警告弱口令字,但不禁止它们使用;enforce=users 将对系统上的全体非根用户实行这一限制;enforce=everyone 将对包括根用户在内的全体用户实行这一限制。
non-unix:它告诉这个模块不要使用传统的getpwnam 函数调用获得用户信息,
retry:设置用户输入口令字时允许重试的次数,默认值是retry=3

密码复杂度通过/etc/pam.d/system-auth 实施如:
要使用pam_cracklib 将注释去掉,把pam_passwdqc.so 注释掉即可.
#password requisite /lib/security/$ISA/pam_cracklib.so retry=3 difok=1
password requisite /lib/security/$ISA/pam_passwdqc.so min=disabled,24,12,8,7 passphrase=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
#password requisite /lib/security/$ISA/pam_cracklib.so retry=3 difok=1

新密码至少有一位与原来的不同
PASS_MIN_DAYS 参数则设定了在本次密码修改后,下次允许更改密码之前所需的最少天数。
PASS_WARN_AGE 的设定则指明了在口令失效前多少天开始通知用户更改密码(一般在用户刚刚登陆系统时就会收到警告通知)。

你也会编辑/etc/default/useradd 文件,寻找INACTIVE 和EXPIRE 两个关键词:
INACTIVE=14
EXPIRE=
这会指明在口令失效后多久时间内,如果口令没有进行更改,则将账户更改为失效状态。在本例中,这个时间是14 天。而EXPIRE 的设置则用于为所有新用户设定一个密码失效的明确时间(具体格式为“年份-月份-日期”)。

显然,上述这些设定更改之后,只能影响到新建立的用户。要想修改目前已存在的用户具体设置,需要使用chage 工具。
# chage -M 60 joe
这条命令将设置用户joe 的PASS_MAX_DAYS 为60,并修改对应的shadow 文件。

你可以使用chage -l 的选项,列出当前的账户时效情况,而使用-m 选项是设置PASS_MIN_DAYS,用-W则是设置PASS_WARN_AGE,等等。chage 工具可以让你修改特定账户的所有密码时效状态。

注意,chage 仅仅适用于本地系统的账户,如果你在使用一个类似LDAP 这样的认证系统时,该工具会失效。如果你在使用LDAP 作为认证,而你又打算使用chage,那么,哪怕仅仅是试图列出用户密码的时效信息,你也会发现chage 根本不起作用。

制定一项策略,定义多长时间一个密码必须进行更改,然后强制执行该策略,是非常不错的一个做法。在解雇了某个雇员后,口令时效策略会保证该雇员不可能在被解雇3 个月后发现他的口令依然可用。即使系统管理员忽略了删除他的帐号,该帐号也会因密码时效策略而被自动锁定。当然,这一点并不能成为不及时删除该雇员帐号的理由,但是这个策略的确提供了一层额外的安全防护,尤其是在过去常常忽视及时清理帐号的情况下。
分享到:
评论

相关推荐

    linux 相关(Linux网络安全)

    linux 相关(Linux网络安全)

    linux_security.pdf

    Linux安全相关的知识点主要涉及到操作系统内核的安全模型,这些函数是Linux内核安全模块(如SELinux、AppArmor等)的接口。在Linux中,安全机制是通过一组安全操作(security_operations)结构体来实现的,这个...

    蜕变-从菜鸟到Linux安全专家.高清扫描版

    《蜕变:从菜鸟到linux安全专家》通过实际故事场景对linux安全技术和应用方法进行了全面、深入和系统的分析。分别从黑客攻击的基本技术、linux面临的安全威胁、linux系统安全管理、linux网络服务安全管理、linux核心...

    基于Linux文件系统安全性的LSM框架的研究

    LSM 在每个相关的函数中都插入钩子函数,并在特定的内核数据结构中加入了安全域(void * 类型的指针,指向内核中的安全属性的存放区域)。设置和管理安全数据由安全模块来完成,LSM 框架仅仅提供数据空间和一些钩子...

    Linux系统安全.pdf

    文件系统权限是Linux安全的重要组成部分。每个文件和目录都有用户ID(UID)、组ID(GID)以及读、写、执行权限。管理员应合理设定这些权限,防止未经授权的访问。特别是敏感文件,如 `/etc/passwd` 和 `/etc/shadow`...

    Linux安全技术现状分析.pdf

    Linux系统提供了日志记录功能,但原始的审计能力有限,无法全面记录与系统安全相关的活动。为此,研究人员开发了如Trusted IRIX/B、Linux Kernel Audit Project (LKAP)和Linux Security Audit Project (LSAP)等项目...

    Unix/linux系统的安全性概述

    Unix/linux系统的安全性概述 对于网站管理人员而言,日常性的服务器安全保护主要包括四方面内容: 文件存取合法性:任何黑客的入侵行为的手段和目的都可以认为是非法存取文件,这些文件包括重要数据信息、主页页面 ...

    Linux安全操作系统构建方法与技术(第一讲)——构建方法与技术.pdf

    本文主要介绍了 Linux 安全操作系统的构建方法与技术,包括安全操作系统的设计目标、构建过程及相关方法与技术。尤其是各种安全机制的实现原理。 在 Linux 安全操作系统中,安全机制的实现是通过多种方法来实现的,...

    Linux操作系统安全配置

    Linux操作系统安全配置的培训资料主要针对需要维护主机安全的管理员,有志于加强团队或部门主机安全的管理者,以及对网络安全技术感兴趣的人士。这份资料详细介绍了为什么需要进行Linux系统的安全配置,包括在技术...

    windows和linux日常安全安全巡检.pdf

    【文章标题】:Windows与Linux日常安全巡检与解决策略 【文章摘要】:本文主要探讨了Windows和Linux操作系统在日常运维中的安全巡检方法,包括入侵排查思路、系统账号安全、异常端口和进程检查、启动项、计划任务和...

    linux网站安全狗合集

    1. **Linux安全基础**: Linux作为开源操作系统,拥有强大的安全性。然而,任何系统都有其漏洞,因此,了解Linux的基本安全策略是必要的,如限制root用户权限,设置强密码策略,及时更新系统和软件以修补漏洞等。 ...

    Linux安全操作系统的研究与改进.pdf

    在【标题】"Linux安全操作系统的研究与改进.pdf"中,讨论的重点是针对嵌入式系统安全问题的研究和解决方案,主要涉及Linux内核层的改进和强制访问控制(MAC)机制的实施。 【描述】提及的论文深入探讨了如何通过...

    操作系统安全:Windows与linux操作系统安全特性比较.pptx

    至于可信计算,Windows和Linux都在发展相关的框架,但Linux的开放性和社区协作模式可能使其在快速响应和适应安全威胁方面更具优势。 最后,开放标准是Linux的一个关键优势,因为它支持和兼容多种开放标准,这有利于...

    Linux系统安全配置指南(基线).pdf

    Linux 系统安全配置指南(基线) 本文旨在提供一份 Linux 系统安全配置指南,旨在帮助系统管理员和安全专家对 Linux 系统进行安全配置和加固,以保护系统免受各种攻击和威胁。 权限与审计功能配置 在 Linux 系统...

    安全防范Linux嗅探器.rar_linux_linux 安全_安全_安全 C_毕业设计

    - "linux":表明主题与Linux操作系统紧密相关,可能涵盖了Linux内核安全特性、命令行工具或系统调用等方面的知识。 - "linux_安全":强调了在Linux环境中实施安全策略和防护措施的重要性。 - "安全":提示此资源主要...

    linux的网络安全命令

    linux中的主机安全以及网络安全的相关命令。

    linux相关资料集锦

    九、Linux安全 理解用户和组管理、权限控制、 SELinux(安全增强型Linux)或AppArmor(应用防护)等安全机制,对保障系统安全至关重要。 十、Linux内核与模块 了解如何编译自定义内核、加载和卸载内核模块,以及...

Global site tag (gtag.js) - Google Analytics