Linux系统下的用户密码设定梳理

随着linux使用的普遍,对于linux用户以及系统的安全要求越来越高,而用户密码复杂程度是系统安全性高低的首要体现。因此如何对linux下用户的密码进行规则限制,以保证用户必须使用复杂的密码,杜绝用户随意使用简单的密码,从而提高用户的安全性和系统的安全性。下面就不做过多赘述,直接以centos6版本为例进行介绍:

1)用户密码策略 Linux系统下的用户密码的有效期,是否可以修改密码可以通过login.defs文件控制.对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令.

[root@bastion-IDC ~]# cat /etc/login.defs|grep -v "^#"|grep -v "^$"
MAIL_DIR	/var/spool/mail
PASS_MAX_DAYS	99999
PASS_MIN_DAYS	0
PASS_MIN_LEN	5
PASS_WARN_AGE	7
UID_MIN			  500
UID_MAX			60000
GID_MIN			  500
GID_MAX			60000
CREATE_HOME	yes
UMASK           077
USERGROUPS_ENAB yes
ENCRYPT_METHOD SHA512 

上述文件中的重要参数表示:
PASS_MAX_DAYS   99999     密码的最大有效期, 99999:永久有期  
PASS_MIN_DAYS   0         是否可修改密码,0表示可修改,非0表示多少天后可修改 
PASS_MIN_LEN    5         密码最小长度,但是使用pam_cracklib.so模块后,该参数不再有效(这个参考下面密码复杂度规则设定)  
PASS_WARN_AGE   7         密码失效前多少天在用户登录时通知用户修改密码

2)用户密码复杂度规则设定,需要通过/etc/pam.d/system-auth文件实施,centos6中默认是通过pam_cracklib.so模块控制:

[root@bastion-IDC ~]# cat /etc/redhat-release
CentOS release 6.8 (Final)
  
[root@bastion-IDC ~]# vim /etc/pam.d/system-auth
将文件中的下面两行:
password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
改为:
password    requisite     pam_cracklib.so try_first_pass retry=3 type= minlen=8 ucredit=-2 lcredit=-4 dcredit=-1 ocredit=-1
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=5
  
上面文件中参数分别说明设置密码的时候要遵循下面的规则:
retry=3       定义登录/修改密码失败时,可以重试的次数;
type=xxx      当添加/修改密码时,系统给出的缺省提示符是什么,用来修改缺省的密码提示文本。默认是不修改的,如上例。
minlen=8      定义用户密码的最小长度为8位
ucredit=-2    定义用户密码中最少有2个大写字母    (数字为负数,表示至少有多少个大写字母;数字为正数,表示至多有多少个大写字母;下面同理)
lcredit=-4    定义用户密码中最少有4个小写字母
dcredit=-1    定义用户密码中最少有1个数字
ocredit=-1    定义用户密码中最少有1个特殊字符(除数字、字母之外)
remember=5    修改用户密码时最近5次用过的旧密码就不能重用了
----------------------------------------------------------------------------
除了上面的几个参数,还可以设定下面的参数规则
difok=N       此选项用来规定新密码中必需有N个字符与旧密码不同。如果新密码中有1/2以上的字符与旧密码不同时,该新密码就会被接受。
difignore=N   此选项用来设定在difok之前收到多少个字符时,difok设置会被忽略,缺省为23。
minclass=N    此选项用来规定新密码中的字符类别的最小数目,字符一般有四种类别:数字、大写字母、小写字母,以及特殊字符。

3)Linux账户期限设定 Linux系统下可以使用chage命令是用来修改帐号和密码的有效期限。

需求场景:
公司给客户开的ftp账户用于下载报社新闻稿件。这个是付费的,账户有时间限制。若是合同到期了,客户想续约,就需要给这个ftp账户做延期。

注意下面修改账户有效期限的命令:
# chage -l username   查看系统账户的当前设置
# chage -M 600 fzwb_word   修改fzwb_word账户密码的有效天数为600天。过了这个天数,账户密码无效
# chage -E "Jun 16, 2016" fzwb_word  设定fzwb_word账户的具体到期时间。过了这个日期,账户就无效。默认是never  (fzwb_word为ftp的账户账户)

注意:
chage -M  针对的是账户密码过期时间。
chage -E  这个命令针对的是账户过期时间

设定账户过期时间,除了使用chage -E命令,还可以使用usermod -e命令
# usermod -e "Jun 16, 2016" fzwb_word   设定fzwb_word账户的具体到期时间。默认是never  (fzwb_word为ftp的账户账户)

下面命令查看, fzwb_word 这个账户的时间到 2015 年 6 月 10 号就到期了!!
修改为 2016 月 6 月 16 号到期!
[root@hlweb80 ~]# chage -l fzwb_word
Minimum: 0
Maximum: 99999
Warning: 7
Inactive: -1
Last Change: Jun 15, 2012
Password Expires: Never
Password Inactive: Never
Account Expires: Jun 10, 2015

[root@hlweb80 ~]# usermod -e "Jun 16, 2016" fzwb_word
[root@hlweb80 ~]# chage -l fzwb_word
Minimum: 0
Maximum: 99999
Warning: 7
Inactive: -1
Last Change: Jun 15, 2012
Password Expires: Never
Password Inactive: Never
Account Expires: Jun 16, 2016

--------------------------------------------------------------------------------
可以使用chage命令来手动修改账户的相关属性:
格式:chage [选项] 账户名

[选项]
-m:密码可更改的最小天数。为零时代表任何时候都可以更改密码。 
-M:密码保持有效的最大天数。 
-w:账户密码到期前,提前收到警告信息的天数。 
-E:帐号到期的日期。过了这天,此帐号将不可用。 
-d:上一次更改的日期。 
-i:停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。 
-l:例出当前的设置。由非特权账户来确定他们的密码或帐号何时过期。

实例如下:
[root@linux-node1 ~]# chage -l wangshibo
Last password change          : Mar 09, 2017       //账户创建时间
Password expires          : Aug 30, 2022           //账户密码过期时间
Password inactive         : never
Account expires           : never                 //账户过期时间
Minimum number of days between password change    : 0
Maximum number of days between password change    : 2000
Number of days of warning before password expires : 7

[root@linux-node1 ~]# usermod -e "Jun 16, 2018" wangshibo

[root@linux-node1 ~]# chage -l wangshibo
Last password change          : Mar 09, 2017
Password expires          : Aug 30, 2022
Password inactive         : never
Account expires           : Jun 16, 2018                       
Minimum number of days between password change    : 0
Maximum number of days between password change    : 2000
Number of days of warning before password expires : 7

[root@linux-node1 ~]# chage -M 20 wangshibo

[root@linux-node1 ~]# chage -l wangshibo
Last password change          : Mar 09, 2017
Password expires          : Mar 29, 2017         
Password inactive         : never
Account expires           : Jun 16, 2018
Minimum number of days between password change    : 0
Maximum number of days between password change    : 20
Number of days of warning before password expires : 7

[root@linux-node1 ~]# chage -E "Jun 2, 2020" wangshibo

[root@linux-node1 ~]# chage -l wangshibo
Last password change          : Mar 09, 2017
Password expires          : Mar 29, 2017
Password inactive         : never
Account expires           : Jun 02, 2020
Minimum number of days between password change    : 0
Maximum number of days between password change    : 20
Number of days of warning before password expires : 7

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

访问数据 - 反应方式(Vert.x入门的第4部分)

原文地址:https://dzone.com/articles/accessing-data-the-reactive-way

1.2K4
来自专栏魏琼东

分布式消息总线,基于.NET Socket Tcp的发布-订阅框架之离线支持,附代码下载

     在前面的分享一个分布式消息总线,基于.NET Socket Tcp的发布-订阅框架,附代码下载一文之中给大家分享和介绍了一个极其简单也非常容易上的基于...

1190
来自专栏一个爱瞎折腾的程序猿

asp.net core使用Swashbuckle.AspNetCore(swagger)生成接口文档

开局一张图,然后开始编,一些基本的asp.net core东西就不再赘述,本文只对Swashbuckle.AspNetCore的几个使用要点进行描述。

1771
来自专栏实战docker

Java实战操作MongoDB集群(副本集)

Spring提供了MongoDB操作的工具:MongoTemplate,使得在Spring环境下对MongoDB的操作更为便利,本章我们就来学一下如何用Mong...

3449
来自专栏小樱的经验随笔

sqlmap注入分类

注入分法不同,种类不同,来个简单的分类: 1.get型:sqlmap -u “http://xxx.xx.xxx/xx.xxx?xx=xxx”  2.pos...

3525
来自专栏码匠的流水账

nginx lua api解读

标识response结束,ngx.eof()只是结束响应流的输出,中断HTTP连接,后面的代码逻辑还会继续在服务端执行

4961
来自专栏阿杜的世界

Spring的容器内部事件发布自定义事件机制Spring 的容器内事件发布类结构应用场景

EventListener接口的作用仅仅在于“标记”,具体要提供哪些功能需要开发者自己定义,而且,还需要为自己定义的接口提供一个默认的实现类——只有接口的话什么...

1022
来自专栏唐维黎的专栏

Web 性能压测工具 ApacheBench(ab)使用总结

对于 web 服务,不管是上新,还是平时产品运营,节假日活动等,在这之前都需要评估现网压力承受能力,提前进行扩容,并做到防患于未然。所以对网站性能压力测试是必不...

1.9K0
来自专栏惨绿少年

磁盘管理 之 parted命令添加swap,文件系统

第1章 磁盘管理 1.1 必须要了解的。 1.1.1 ps aux 命令中 RSS 与VSZ的含义 rss 进程占用的物理内存的大小 单位:kb ;   ...

2800
来自专栏DannyHoo的专栏

XML解析

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u010105969/article/details/...

1582

扫码关注云+社区

领取腾讯云代金券