Linux账号安全

不允许root直接登陆

1、修改相关文件

vi /etc/ssh/sshd_config

SSH执行以上命令，修改sshd_config文件

2、禁止root登陆

查找“#PermitRootLogin yes”，将前面的“#”去掉，短尾“Yes”改为“No”(小写)，并保存文件。

3,重启sshd服务生效 #service sshd restart

密码复杂性

Linux系统默认是要求密码复杂性的,只是root账户不受限制。另外密码策略设置在/etc/login.defs文件中,可以设置密码的最小长度，过期时间等，如下：
PASS_MAX_DAYS 99999（密码最长使用时间，建议不要超过90天）
PASS_MIN_DAYS 0（密码最短使用时间）
PASS_MIN_LEN 5（密码最小长度，建议8位以上）
PASS_WARN_AGE 7（密码过期前几天提醒）
单独设置某个用户的密码选项可以查看/etc/shadow文件

修改linux系统用户密码长度和复杂性

之前在修改Linux密码长度的时候都是去修改/etc/login.defs文件的pass_min_len 参数,可是地球人都知道,这个参数根本不具备强制性,用户一样可以使用短密码.

真正要对密码复杂性进行限制,还需要cracklib来完成.

红帽的系统一般都已经安装了, 可以rpm -qa|grep crack来查看,一般是两个包

cracklib参数主要有:
1.debug
  用于syslog日志记录
2.type=abcd
  当修改密码时,典型的提示信息是:

 New linux password:

 Retype Linux password:

 可以通过abcd来替换linux这个单词
3.retry=3
  用户有几次出错的机会
4.difok=5
  新密码中至少有几个字符是和以前的密码不同的.
5.difignore=3
   忽略新密码中不同字符之前的几个字母.

6.minlen=8

   最小密码长度

7.dcreditr=5
   密码中最多几个数字
8.ucredit=5
  密码中最多几个大些字母.
9.lcredit=5
  新密码中最多几个消协字母

10.ocredit=5

  新密码中最多几个特殊字符
11.use_authtok

  使用密码字典中的密码

配置样例:

/etc/pam.d/system-auth

修改

      password requisite /lib/security/$ISA/pam_cracklib.so retry=3

为

password requisite /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 difok=5

附图是211截图