RedHat linux 密码策略

配置账户口令期限
安全要求:
密码最大有效期90天,过期前10天提醒用户更改密码
通用策略:
对维护帐号和系统帐号启用口令过期策略,实施时根据业务加固策略决定业务帐号和 数据库 帐号是否能够配置口令期限。
风险说明:
如果口令在过期前不及时修改,可能造成业务中断。所以请确定哪些帐号需要进行例外设置。
如果存在关联密码的情况,在修改密码时没同步修改业务相关配置文件,会导致业务不可用。
操作方法:
1.设置密码最大有效期限为90天
修改/etc/login.defs,添加或修改如下内容:
#vi /etc/login.defs
PASS_MAX_DAYS  90
系统 已经存在帐号进行设置:
# passwd –x 90  account
例如更改root账户,#passwd  -x 90 root
 
2.过期前10天提醒用户更改密码。
修改/etc/login.defs,添加或修改如下内容:
#vi /etc/login.defs
PASS_WARN_AGE 10
对系统已经存在帐号进行设置:
# passwd –w 7 account
例如更改root账户,#passwd  -w 7 root
3.查看帐号密码策略:
 #chage -l account
例如更改root账户,#chage -l root
Maximum number of days between password change           : 90
Number of days of warning before password expires     : 10
操作验证:
验证方法:
使用密码过期的帐户尝试登录系统;
使用密码即将到期的账号尝试登陆系统;
预期结果:
登录不成功
系统提示修改密码
配置账户口令复杂度
安全要求:
账户口令(包括root账户)长度至少8位,包括数字、小写字母、大写字母和特殊符号4类,并至少包含每类1个 字符。
通用策略:
该操作立即生效,对所有修改密码的命令有效。,一般设置为最短长度8个字符。
至少包含一个数字,一个小写字母,一个大写字母,一个特殊字符。
风险说明:
对于存在密码关联的用户,修改密码时须注意同步修改业务相关配置文件,否则会造成业务不可用。
操作方法:
设置密码规则:至少各有一个字符来自这些字符集a-z、A-Z、标点符号、0-9
修改/etc/pam.d/passwd文件:
#vi /etc/security/passwd
确保下面行未被注释,如没有,请按以下顺序添加:
#%PAM-1.0
auth        include          system-auth
account     include           system-auth
password    requisite     pam_passwdqc.so  enforce=everyone
password    requisite     pam_cracklib.so  minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1
password    include          system-auth
操作验证:
验证方法:
创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令,查看系统是否对口令强度要求进行提示;输入至少带有一个数字,一个小写字母,一个大写字母,一个特殊字符。
的复杂口令、查看系统是否可以成功设置。例如输入口令P@ssw0rd
预期结果:
不符合密码强度的时候,系统对口令强度要求进行提示
符合密码强度的时候,可以成功设置
 
配置账户口令重复使用次数
安全要求:
使账户不能重复使用最近2次(含2次)内已使用的口令
通用策略:
根据业务加固策略决定是否允许设置此项
风险说明:

操作方法:
禁止使用最近2次使用的密码
修改/etc/pam.d/passwd
确保下面行未被注释,如没有,请按以下顺序添加:
#vi /etc/pam.d/passwd
#%PAM-1.0
auth        required   pam_stack.so service=system-auth
account     required    pam_stack.so service=system-auth
password    requisite  pam_unix.so remember=2
password    requisite  pam_passwdqc.so  enforce=everyone
password   requisite  pam_cracklib.so  minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1   pam_stack.so
password    include      system-auth
 
 
 
操作验证:
验证方法:
使用用户帐号修改自己的密码,设置新密码与最近2次的旧密码相同;
预期结果:
如果设置的新密码与最近2次的旧密码相同,系统不接受该新密码。会提示:
You can now choose the new password or passphrase.

你可能感兴趣的:(操作系统linux)