Linux 系统密码策略设置

Linux主要密码安全需求

1. 禁止使用旧密码

2.设置密码最短长度

3.设置密码复杂度

4.设置密码过期期限

Linux密码策略理论知识：

1、使用配置文件/etc/pam.conf

2、使用配置目录/etc/pam.d/

讲怎么使用，后面有理论教程，先知其然再知其所以然

Linux主要密码安全需求

1. 禁止使用旧密码

vi /etc/pam.d/system-auth

找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行，它表示禁止使用最近用过的5个密码（己使用过的密码会被保存在 /etc/security/opasswd 下面）。

password sufficient pamunix.so sha512 shadow nullok tryfirstpass useauthtok remember=5

2.设置密码最短长度

vi /etc/pam.d/system-auth

找到同时有 “password” 和 “pam_cracklib.so” 字段并且附加有 “minlen=10” 的那行，它表示最小密码长度为（10 - 类型数量）。这里的 “类型数量” 表示不同的字符类型数量。PAM 提供4种类型符号作为密码（大写字母、小写字母、数字和标点符号）。如果你的密码同时用上了这4种类型的符号，并且你的 minlen 设为10，那么最短的密码长度允许是6个字符。

password requisite pam_cracklib.so retry=3 difok=3 minlen=10

3.设置密码复杂度

vi /etc/pam.d/system-auth

找到同时有 “password” 和 “pam_cracklib.so” 那行.

# retry 允许重试3次

# difok=N:新密码必需与旧密码不同的位数 difok=3 新密码必须与旧密码有3位不同

# minlen 最小位数

# ucredit 大写字母位数

# lcredit 小写字母位数

# dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字. dcredit=-1 密码中最少有1个数字

# ocredit=N:特殊字母的个数 ocredit=-1 密码中至少有1个特殊字符

# 它表示密码必须至少包含一个大写字母（ucredit），两个小写字母（lcredit），一个数字（dcredit）和一个标点符号（ocredit）。

password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

4.设置密码过期期限

vi /etc/login.defs

PASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期

PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0修改密码后下一次修改需间隔多少天后可修改

PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效

PASSWARNAGE 7 #密码失效前多少天在用户登录时通知用户修改密码

Linux密码策略理论知识：

PAM（Pluggable Authentication Modules ）是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP-UX 9.0等。
PAM的配置是通过单个配置文件/etc/pam.conf。RedHat还支持另外一种配置方式，即通过配置目录/etc/pam.d/，且这种的优先级要高于单个配置文件的方式。

1、使用配置文件/etc/pam.conf

该文件是由如下的行所组成的：
service-name module-type control-flag module-path arguments

service-name 服务的名字，比如telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。

module-type 模块类型有四种：auth、account、session、password，即对应PAM所支持的四种管理方式。

同一个服务可以调用多个 PAM模块进行认证，这些模块构成一个stack。

control-flag 用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。

它有四种可能的值：required，requisite，sufficient，optional。

required 表示本模块必须返回成功才能通过认证，但是如果该模块返回失败的话，失败结果也不会立即通知用户，

而是要等到同一stack 中的所有模块全部执行完毕再将失败结果返回给应用程序。

即全部策略执行成功才能通过, 有失败不会立即返回，待模块执行完成才返回。

requisite 与required类似，该模块必须返回成功才能通过认证，

但是一旦该模块返回失败，将不再执行同一stack内的任何模块，而是直接将控制权返回给应用程序。

是一个必要条件。注：这种只有RedHat支持，Solaris不支持

即全部策略执行成功才能通过，一旦有一项失败，立即返回.

sufficient 表明本模块返回成功已经足以通过身份认证的要求，不必再执行同一stack内的其它模块

但是如果本模块返回失败的话可以忽略。

optional 表明本模块是可选的，它的成功与否一般不会对身份认证起关键作用，其返回值一般被忽略。

control-flag 从Linux-PAM-0.63版本起，支持一种新的语法，具体可参看LinuxPAM文档。

module-path 用来指明本模块对应的程序文件的路径名，一般采用绝对路径，如果没有给出绝对路径

默认该文件在目录/usr/lib/security下面。

arguments 是用来传递给该模块的参数。一般来说每个模块的参数都不相同，可以由该模块的开发者自己定义，

但是也有以下几个共同的参数：

debug   该模块应当用syslog( )将调试信息写入到系统日志文件中。
no_warn   表明该模块不应把警告信息发送给应用程序。
use_first_pass   表明该模块不能提示用户输入密码，而应使用前一个模块从用户那里得到的密码。
try_first_pass   表明该模块首先应当使用前一个模块从用户那里得到的密码，

   如果该密码验证不通过，再提示用户输入新的密码。
use_mapped_pass      该模块不能提示用户输入密码，而是使用映射过的密码。
expose_account      允许该模块显示用户的帐号名等信息，一般只能在安全的环境下使用，

因为泄漏用户名会对安全造成一定程度的威胁。

2、使用配置目录/etc/pam.d/

该目录下的每个文件的名字对应服务名，例如ftp服务对应文件/etc/pam.d/ftp。如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存在，则该服务将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成：
module-type control-flag module-path arguments
每个字段的含义和/etc/pam.conf中的相同。

密码复杂度通过/etc/pam.d/system-auth这个文件来实现的

我们先看一下默认有什么内容然后将这个文件备份一个：

在这个文件中我们会用到pam_cracklib.so这个模块。pam_cracklib.so是一个常用并且非常重要的PAM模块。该模块主要的作用是对用户密码的强健性进行检测。即检查和限制用户自定义密码的长度、复杂度和历史等。如不满足上述强度的密码将拒绝使用。
pam_cracklib.so 比较重要和难于理解的是它的一些参数和计数方法，其常用参数包括：
debug：将调试信息写入日志；
type=xxx：当添加/修改密码时，系统给出的缺省提示符是“New UNIX password:”以及“Retype UNIX
password:”，而使用该参数可以自定义输入密码的提示符，比如指定type=your own word；
retry=N：定义登录/修改密码失败时，可以重试的次数；
Difok=N：定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时，该新密码将被接受；
minlen=N：定义用户密码的最小长度；
dcredit=N：定义用户密码中必须包含多少个数字；
ucredit=N：定义用户密码中必须包含多少个大写字母；
lcredit=N：定义用户密码中必须包含多少个小些字母；
ocredit=N：定义用户密码中必须包含多少个特殊字符（除数字、字母之外）