尤其是,对于任何自称安全的linux系统,最受关心的应该是密码安全问题。在本教程中,我将介绍如何在linux上设置严密的密码策略。...我假设你的linux系统是最近的linux发行版,那么你正在使用的应该是PAM(可插拔认证模块)。...pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 在Fedora,CentOS...vi /etc/pam.d/system-auth 修改内容: password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit...” 的那行, 尝试密码输错次数(retry), 密码不同字符次数(difok), 密码最短长度(minlen),必须至少包含大写字母次数(ucredit),必须至少包含小写字母次数(lcredit),
bin/sh 这里只需要件 /bin/sh 改成 /bin/bash 即可. sr:x:1000:1000:ghw:/home/ghw:/bin/bash 2.账号及权限分配: 不同用途设置不同权限 Linux...dcredit=-1 密码中最少有1个数字 # ocredit=N:特殊字母的个数 ocredit=-1 密码中至少有1个特殊字符 # 它表示密码必须至少包含一个大写字母(ucredit),两个小写字母...password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit...system-auth文件末尾添加“password requisite pam_cracklib.so try_first_pass retry=3 type= minlen=16 ucredit...#密码最小长度,使用pam_cracklib module,该参数不再有效 PASSWARNAGE 7 #密码失效前多少天在用户登录时通知用户修改密码 5.linux
本文基于我作为初学者迄今所学的知识,详细介绍了六个简单的步骤,以提高个人使用的 Linux 环境的安全性。...在我的整个旅程中,我利用开源工具来加速我的学习过程,并熟悉了与提升 Linux 服务器安全有关的更高层次的概念。...例如: PASS_MIN_AGE: 3 PASS_MAX_AGE: 90 PASS_WARN_AGE: 14 强制要求字符规格: 在密码中强制要求字符规格的四个参数是 lcredit(小写)、ucredit...在该行末尾添加以下内容:lcredit=-a ucredit=-b dcredit=-c ocredit=-d。 例如,下面这行要求密码必须至少包含一个每种字符。...lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1。 4、停用容易被利用的非必要服务。 停用不必要的服务是一种最好的做法。这样可以减少开放的端口,以便被利用。
所以购买服务器前要提前加固好我们的服务器,本节就来介绍Linux服务器安全加固的10条建议。...requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit...=-1 lcredit=-1 dcredit=-1 difok= 定义新密码中必须要有几个字符和旧密码不同 minlen=新密码的最小长度 ucredit= 新密码中可以包含的大写字母的最大数目。...Linux服务器加固:https://blog.csdn.net/qq_36119192/article/details/82906799 2.
随着linux使用的普遍,对于linux用户以及系统的安全要求越来越高,而用户密码复杂程度是系统安全性高低的首要体现。...因此如何对linux下用户的密码进行规则限制,以保证用户必须使用复杂的密码,杜绝用户随意使用简单的密码,从而提高用户的安全性和系统的安全性。...try_first_pass use_authtok 改为: password requisite pam_cracklib.so try_first_pass retry=3 type= minlen=8 ucredit...minlen=8 定义用户密码的最小长度为8位 ucredit=-2 定义用户密码中最少有2个大写字母 (数字为负数,表示至少有多少个大写字母;数字为正数,表示至多有多少个大写字母...3)Linux账户期限设定 Linux系统下可以使用chage命令是用来修改帐号和密码的有效期限。 需求场景: 公司给客户开的ftp账户用于下载报社新闻稿件。这个是付费的,账户有时间限制。
dcredit = -1 ucredit = -1 lcredit = -1 ocredit = -1 # 验证次数 retry = 3 # 对root用户进行密码策略检测 enforce_for_root...您可以强制要求密码长度至少为12个字符,要求至少一个大写字母、一个小写字母、一个数字和一个特殊字符: password requisite pam_pwquality.so retry=3 minlen=12 ucredit...ucredit=-1:要求至少一个大写字母。 lcredit=-1:要求至少一个小写字母。 dcredit=-1:要求至少一个数字。...nano /etc/apt/apt.conf.d/50unattended-upgrades # 大约在21行 Unattended-Upgrade::Package-Blacklist { "linux-image..."; "linux-headers"; "linux-modules"; "linux-modules-extra"; }; # 重启 unattended-upgrades 服务: sudo
(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式.。...可以参照相关模块的使用规则 password requisite pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit...# try_first_pass:表明该模块首先应当使用前一个模块从用户那里得到的密码,如果该密码验证不通过,再提示用户输入新的密码 # minlen:指定密码最小长度为14 # dcredit/ucredit...以下面的配置为例: # tag1 password requisite pam_cracklib.so try_first_pass retry=3 minlen=14 dcredit=-1 ucredit...参考 更多示例请见:linux中pam模块 关于各个模块参数详解请见:The Linux-PAM System Administrators' Guide 密码过期时间 命令:chage $ chage
=-1 ocredit=-1 lcredit=-1 执行命令:cat /etc/security/pwquality.conf 检查是否存在以下内容:minlen = 8 dcredit = -1 ucredit...pam_pwquality.so 模块如下:password requisite pam_pwquality.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit...=-1 ocredit=-1 lcredit=-1 或编辑/etc/security/pwquality.conf 文件,修改以下内容:minlen = 8 dcredit = -1 ucredit =...ocredit = -1 lcredit = -1 备注:当配置文件/etc/pam.d/password-auth 和/etc/pam.d/system-auth 未配置 minlen、dcredit、ucredit...文件设置生效 编辑/etc/security/pwquality.conf 文件,修改以下内容: minlen = 8 口令长度至少包含 8 个字符 dcredit = -1 口令包含N个数字 ucredit
在文件/etc/login.defs中设置 PASS_MIN_LEN 不小于标准值 修改/etc/pam.d/system-auth文件, 在ucredit=-1 lcredit=-1 dcredit=...例如:password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1 注:ucredit:大写字母个数;lcredit:小写字母个数...service -–status-all | grep syslog 在root权限下,使用命令more、cat或vi查看 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux
对未经过安全认证的RPM包进行安全检查 rpm -qp xxx.rpm --scripts 查看rpm包中的脚本信息 Linux用户方面的加固 设定密码策略 修改 /etc/login.defs...我们设置新密码不能和旧密码相同,同时新密码至少8位,还要同时包含大字母、小写字母和数字 image.png difok= :此选项用来定义新密码中必须要有几个字符和旧密码不同 minlen=:此选项用来设置新密码的最小长度 ucredit
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit...=-1 lcredit=-1 dcredit=-1difok= 定义新密码中必须要有几个字符和旧密码不同minlen=新密码的最小长度ucredit= 新密码中可以包含的大写字母的最大数目。
了解PAM Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。...Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。...在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。...system-auth-ac 模块名称:pam_cracklib(仅适用于password模块接口) 模块参数: minlen=12 密码字符长度不少于12位(默认为9) lcredit=-1 至少包含1个小写字母 ucredit...password requisite pam_cracklib.so try_first_pass retry=3 type= reject_username minlen=12 lcredit=-1 ucredit
了解PAM Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。...Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。...在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。...:pam_cracklib(仅适用于password模块接口) 模块参数: minlen=12 密码字符长度不少于12位(默认为9) lcredit=-1 至少包含1个小写字母 ucredit...requisite pam_cracklib.so try_first_pass retry=3 type= reject_username minlen=12 lcredit=-1 ucredit
requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit...=-1 lcredit=-1 dcredit=-1 difok= 定义新密码中必须要有几个字符和旧密码不同 minlen = 新密码的最小长度 ucredit= 新密码中可以包含的大写字母的最大数目。.../etc/login.defs 文件用于在 Linux 创建用户时,对用户的一些基本属性做默认设置,例如指定用户 UID 和 GID 的范围,用户的过期时间,密码的最大长度,等等。...ENCRYPT_METHOD SHA512 指定用户密码采用的加密规则,默认采用 SHA512,这是新的密码加密模式,原先的 Linux 只能用 DES 或 MD5 加密。...: /boot/initramfs-3.10.0-1062.18.1.el7.x86_64.img Found linux image: /boot/vmlinuz-3.10.0-957.el7.x86
config below # (if you'd like to edit the value, edit it with vi and others) [root@linuxprobe~]# grep "^ucredit..." /etc/security/pwquality.conf ucredit = -1 # 在新密码中至少需要一个数字 [root@linuxprobe~]# authconfig --enablereqdigit
requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type minlen=8 lcredit=-1 ucredit...difok=5 enforce_for_root # 负数:代表最少出现次数 # 正数:代表最多出现次数 # minlen=8:密码长度至少 8 位 # lcredit=-1:至少包含一个小写字母 # ucredit
转载自joshua317博客 https://www.joshua317.com/article/122 一、应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 Linux...下对于新添加的用户,用户密码过期时间是从/etc/login.defs中PASS_MAX_DAYS提取的,普通系统默认就是99999 在linux,设置密码复杂度的方法有几个 一个是在/etc/login.defs...requisite pam_cracklib.so这么一行替换成如下: password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit
Linux默认情况下是安全的,并同意进行一些扩展(这是有争议的话题)。但是,默认情况下,Linux 具有内置的安全模型。需要根据你的需要对其进行调整和自定义,这可能有助于构建更安全的系统。...> 另请阅读: # vi /etc/pam.d/system-auth 并使用信用参数添加行作为 (lcredit, ucredit, dcredit 和/或 ocredit 分别为小写、大写、数字等...) /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1 16....启用Iptables(防火墙) 强烈建议启用 Linux firewall以保护你的服务器未经授权的访问。...之ssh命令 Linux之yum命令 Linux之netstat命令
适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。...password验证类型中调用pam_cracklib.so动态链接库: password required pam_cracklib.so try_first_pass minlen=8 ucredit
所谓的应用程序,就包括在linux里使用的命令,好,回到密码长度这个话题。 修改密码时对于密码的一系列验证由pam_cracklib.so模块实现,那么谁去调用?...ucredit=N:和dcredit差不多,但是这里说的是大写字母。 lcredit=N:和dcredit差不多,但是这里说的是小写字母。...准确的解释来man命令输出的说明文档:https://linux.die.net/man/8/pam_cracklib 其实写得还是比较清楚的,但是还是有点抽象,我稍微解释下。...minlen确实有最小长度的意思,但是当dcredit、ucredit、lcredit、ocredit的值(N)大于等于零的时候,情况就不同了。
领取专属 10元无门槛券
手把手带您无忧上云