linux系统账号和密码策略

一．情况说明

为了满足系统安全性要求和最大限度的保障主机及数据安全。特为 linux 系统的账号和密码作以下安全策略设置。

Linux 系统中对账号和密码的管理是通过下面这些配置文件：

Ø         /etc/login.defs

Ø         /etc/shadow

其中 /etc/login.defs 文件是一个全局性的文件它的设置是对系统中所有新创建的用户起作用（ root 用户除外）

然而 /etc/shadow 文件可以针对每个特定账号进行策略设置。

因此我们可以修改 /etc/login.defs 文件使以后新创建的用户都严格遵循策略限制，同时我们可以手动修改 /etc/shadow 文件对系统现有的账号进行设置以满足策略要求。

二．修改/etc/login.defs文件

修改账号密码最大有效使用时间

 

添加 test 账号测试效果并查看 test 账号目前信息

 

1. 调整系统时间，人为使 test 账号过期

 

2. 用 test 账号登陆系统

 

提示密码过期需要修改

系统提示需要修改账号密码。而且修改的密码必须符合密码复杂度要求，否则不予进入系统。

 

3. 登陆系统后查看 test 账号情况

密码过期日期自动往后推移 1 天

而且从输出信息可以得知此账号过期时间已经往后又推迟了 1 天

2.在/etc/login.defs文件中还可以修改账号的密码长度

PASS_MIN_LEN    5       ß 系统默认是最少 5 个字符

三．修改/etc/shadow文件

这个文件我们可以手动去修改但是为了安全和正确性，我们建议使用系统提供的一个命令来修改： chage

-m ：密码可更改的最小天数。为零时代表任何时候都可以更改密码。
　　-M ：密码保持有效的最大天数。
　　-W ：用户密码到期前，提前收到警告信息的天数。
　　-E ：帐号到期的日期。过了这天，此帐号将不可用。
　　-d ：上一次更改的日期
　　-l ：例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

这个命令的使用必须是root账号（除了-l参数）,因此我们可以使用以下命名和参数：

#chage –M 90 –W 7 账号     ß —修改密码有效期限为90天并且提前7天警告用户密码将过期

 

 

 

四．Sudo设置

  为了便于日后的维护和避免当root账号密码过期后无法操作系统的情况出现。特意为某个特殊账号配置sudo权限。

1.     基本步骤

以root用户登陆系统

运行#visudo

在文件的结尾添加内容：

test  ALL=(root)/usr/bin/chage

账号名称

主机名 ALL 代表所有主机

赋予普通用户具有 root 权限执行命令

赋予普通用户有执行 chage 的权限