网络安全等级测评-服务器（一）-口令复杂度配置（聊聊不一样的事）

 

学习目标：口令复杂度配置（聊聊不一样的事）

提示：本次测试基于CentOS 7.5操作系统，预计其他版本也一样,Ubuntu除外

例如：CentOS 7.X、CentOS 6.X

学习内容：口令配置需要的知识点

知识点：

1. minlen = N：密码最小长度为 N个字符 ；

2. dcredit = N：密码必须包含数字的个数 （N>0，最多包含N个数字，N<0，最少包含N个数字）；

3. ucredit = N：密码必须包含大写字母的个数 （N>0，最多包含N个大写字母，N<0，最少包含N个大写字母）；

4. lcredit = N：密码必须包含小写字母的个数 （N>0，最多包含N个小写字母，N<0，最少包含N个小写字母）；

5. ocredit = N：密码必须包含特殊字符的个数 （N>0，最多包含N个特殊字符，N<0，最少包含N个特殊字符）；

6. enforce_for_root：口令复杂度同样限制root账户；

7. retry=N：输入密码N次。

 不一样的说明：/etc/security/pwquality.conf与/etc/pam.d/system-auth

/etc/security/pwquality.conf配置文件虽然可以配置口令复杂度，但是不强制生效，该文件无法强制口令复杂度。真正生效的是/etc/pam.d/system-auth，并且还有配置的位置说明。

---

口令配置：需要配置文件

/etc/pam.d/system-auth

正确的配置（可以执行以下的代码，代码表示第14行添加以下命令）：

sed -i '14a  password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=5 enforce_for_root' /etc/pam.d/system-auth

1、配置生效如下（需要配置在：password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok  命令之前）：

2、错误配置：口令复杂度要求可绕过限制

---

需要注意：

1、口令复杂度：需要配置/etc/pam.d/system-auth文件，/etc/security/pwquality.conf文件不生效

2、​CentOS 7.X、CentOS 6.X均可参照，Ubuntu不一样

博主微信（微信号：CSmile_H）：

从事该等保测评行业、密码测评、信息安全、网络安全、数据安全、系统开发、程序员（包括大学生课设资源，本人毕业时保留了大量的资源）工作的，本人有很多各类的资源体系、运维工具，核查工具等，并可资源帮助（私我可免费领取），主打就是给你们省钱、避坑。可以加我微信，然后我拉进群。