linux 下口令安全设置

1、Linux系统的用户帐号策略

编辑/etc/pam.d/system-auth 添加如下语句。

   auth        required      /lib/security/$ISA/pam_tally.so deny=5

   account required pam_tally.so

该语句的解释：密码最大联系登录6次，超过只能联系管理员。

 

2、密码策略

 

    2.1编辑/etc/login.defs  指定如下参数的值。

 

         PASS_MAX_DAYS   99999

         PASS_MIN_DAYS   0

         PASS_MIN_LEN    5

         PASS_WARN_AGE   7

 

         参数值得解释： PASS_MAX_DAYS（设置密码过期日期） 

              PASS_MIN_DAYS(设置密码最少更改日期）

              PASS_MIN_LEN(设置密码最小长度）时指密码设置的最小长度，一般定义为8位以上

              PASS_WARN_AGE(设置过期提前警告天数）

 

     2.2 设置账户锁定登陆失败锁定次数、锁定时间

 

         编辑/etc/pam.d/system-auth   首先  cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak      

        

         ＃vi ／etc/pam.d/system-auth

         auth required pam_tally.so onerr=fail deny=6 unlock_time=300

         解释：设置位密码连续六次锁定，锁定时间300秒 

        

         解锁用户 faillog -u <用户名》 -r

         

 

     2.3 设置口令的复杂程度。

        

         编辑/etc/pam.d/system-auth   首先  cp /etc/pam.d/system-auth /etc/pam.d/system-auth.bak

 

         ＃vi ／etc/pam.d/system-auth

         找到pam_cracklib.so  在后面加一些参数，

         例：password    requisite     pam_cracklib.so  minlen=8 ucredit=-2   lcredit=-2   dcredit=-5    ocredit=-1

         意思为最少有2个大写字母，2个小写字符，5个数字， 1个符号

 

       2.4 限制su的权限

 

         如果你不想任何人能够用su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：

　　       auth sufficient /lib/security/pam_rootok.so debug
　　       auth required /lib/security/pam_wheel.so group=isd

　　       这时，仅isd组的用户可以用su作为root。此后，如果你希望用户admin能够用su作为root，可以运行如下命令

           # usermod -G10 admin