服务器口令长度、强度、时效限制

银河麒麟服务器的root密码要求 如下：

一是口令生存周期不长于30天。

二是口令长度最小值10个字符。

三是启动口令复杂度要求。

四是强制密码历史，记住24个密码。

#查看当前密码有效期是多少
grep -nr 'PASS_MAX_DAYS' /etc/login.defs
#查看当前密码策略是什么
grep -nr 'password' /etc/pam.d/system-auth        

在银河麒麟服务器中，配置 root 密码策略 以满足您提到的要求，可以通过修改系统的 PAM（Pluggable Authentication Modules） 和 密码策略配置文件 来实现。以下是具体的配置步骤：

---

1. 口令生存周期不长于 30 天

通过修改 /etc/login.defs 文件，设置密码的最大使用天数。

sudo vi /etc/login.defs

找到以下参数并修改为：

PASS_MAX_DAYS 30

---

2. 口令长度最小值 10 个字符

通过修改 PAM 配置文件，设置密码的最小长度。

sudo vi /etc/pam.d/system-auth

在文件中找到以下行（或类似行）：

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

修改为：

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=10

---

3. 启动口令复杂度要求

通过修改 PAM 配置文件，启用密码复杂度检查。

sudo vi /etc/pam.d/system-auth

在文件中找到以下行（或类似行）：

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

修改为：

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=10 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

参数说明：

• dcredit=-1：至少包含 1 个数字。
• ucredit=-1：至少包含 1 个大写字母。
• ocredit=-1：至少包含 1 个特殊字符。
• lcredit=-1：至少包含 1 个小写字母。

---

4. 强制密码历史，记住 24 个密码

通过修改 PAM 配置文件，设置密码历史记录。

sudo vi /etc/pam.d/system-auth

在文件中找到以下行（或类似行）：

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok

修改为：

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=24

---

5. 应用配置

完成上述修改后，保存文件并退出编辑器。然后，运行以下命令使配置生效：

sudo pam-auth-update

---

6. 验证配置

可以通过以下命令验证配置是否生效：

• 检查密码生存周期：

  sudo chage -l root

• 尝试设置不符合要求的密码，验证复杂度检查是否生效。 

 

注意事项

1. 备份配置文件：在修改配置文件之前，建议先备份原始文件，以便在出现问题时恢复。

   sudo cp /etc/pam.d/system-auth /etc/pam.d/system-auth.baksudo cp /etc/login.defs /etc/login.defs.bak

2. 测试新密码策略：在正式应用之前，建议先测试新密码策略，确保不会影响系统正常使用。
3. 通知用户：如果服务器有其他用户，需要提前通知他们新的密码策略，避免因密码不符合要求而无法登录。