配置账户口令期限

安全要求:
密码最大有效期90天,过期前10天提醒用户更改密码
通用策略:
对维护帐号和系统帐号启用口令过期策略,实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。
风险说明:
如果口令在过期前不及时修改,可能造成业务中断。所以请确定哪些帐号需要进行例外设置。
如果存在关联密码的情况,在修改密码时没同步修改业务相关配置文件,会导致业务不可用。
操作方法:
1.设置密码最大有效期限90
修改/etc/login.defs,添加或修改如下内容:
#vi /etc/login.defs
PASS_MAX_DAYS  90
对系统已经存在帐号进行设置:
# passwd –x 90  account
例如更改root账户,#passwd  -x 90 root
 
2.过期前10天提醒用户更改密码。
修改/etc/login.defs,添加或修改如下内容:
#vi /etc/login.defs
PASS_WARN_AGE 10
对系统已经存在帐号进行设置:
# passwd –w 7 account
例如更改root账户,#passwd  -w 7 root
3.查看帐号密码策略:
 #chage -l account
例如更改root账户,#chage -l root
Maximum number of days between password change           : 90
Number of days of warning before password expires     : 10
操作验证:
验证方法:
使用密码过期的帐户尝试登录系统;
使用密码即将到期的账号尝试登陆系统;
预期结果:
登录不成功
系统提示修改密码

配置账户口令复杂度

安全要求:
账户口令(包括root账户)长度至少8位,包括数字、小写字母、大写字母和特殊符号4类,并至少包含每类1 字符。
通用策略:
该操作立即生效,对所有修改密码的命令有效。,一般设置为最短长度8个字符。
至少包含一个数字,一个小写字母,一个大写字母,一个特殊字符。
风险说明:
对于存在密码关联的用户,修改密码时须注意同步修改业务相关配置文件,否则会造成业务不可用。
操作方法:
设置密码规则:至少各有一个字符来自这些字符集a-zA-Z、标点符号、0-9
修改/etc/pam.d/passwd文件:
#vi /etc/security/passwd
确保下面行未被注释,如没有,请按以下顺序添加:
#%PAM-1.0
auth        include          system-auth
account     include           system-auth
password    requisite     pam_passwdqc.so  enforce=everyone
password    requisite     pam_cracklib.so  minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1
password    include          system-auth
操作验证:
验证方法:
创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于8位的口令,查看系统是否对口令强度要求进行提示;输入至少带有一个数字,一个小写字母,一个大写字母,一个特殊字符。
的复杂口令、查看系统是否可以成功设置。例如输入口令P@ssw0rd
预期结果:
不符合密码强度的时候,系统对口令强度要求进行提示
符合密码强度的时候,可以成功设置
 

配置账户口令重复使用次数

安全要求:
使账户不能重复使用最近2次(含2次)内已使用的口令
通用策略:
根据业务加固策略决定是否允许设置此项
风险说明:
操作方法:
禁止使用最近2次使用的密码
修改/etc/pam.d/passwd
确保下面行未被注释,如没有,请按以下顺序添加:
#vi /etc/pam.d/passwd
#%PAM-1.0
auth        required   pam_stack.so service=system-auth
account     required    pam_stack.so service=system-auth
password    requisite  pam_unix.so remember=2
password    requisite  pam_passwdqc.so  enforce=everyone
password   requisite  pam_cracklib.so  minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1   pam_stack.so
password    include      system-auth
 
 
 
操作验证:
验证方法:
使用用户帐号修改自己的密码,设置新密码与最近2次的旧密码相同;
预期结果:
如果设置的新密码与最近2次的旧密码相同,系统不接受该新密码。会提示:
You can now choose the new password or passphrase.