RedHat 密码策略加固
配置账户口令期限
安全要求:
密码最大有效期
90
天,过期前
10
天提醒用户更改密码
通用策略:
对维护帐号和系统帐号启用口令过期策略,实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。
风险说明:
如果口令在过期前不及时修改,可能造成业务中断。所以请确定哪些帐号需要进行例外设置。
如果存在关联密码的情况,在修改密码时没同步修改业务相关配置文件,会导致业务不可用。
操作方法:
1.
设置密码最大
有效期限
为
90
天
修改
/etc/login.defs
,添加或修改如下内容:
#vi /etc/login.defs
PASS_MAX_DAYS 90
对系统已经存在帐号进行设置:
# passwd �Cx 90 account
例如更改
root
账户,
#passwd -x 90 root
2.
过期前
10
天提醒用户更改密码。
修改
/etc/login.defs
,添加或修改如下内容:
#vi /etc/login.defs
PASS_WARN_AGE 10
对系统已经存在帐号进行设置:
# passwd �Cw 7 account
例如更改
root
账户,
#passwd -w 7 root
3.
查看帐号密码策略:
#chage -l account
例如更改
root
账户,
#chage -l root
Maximum number of days between password change : 90
Number of days of warning before password expires : 10
操作验证:
验证方法:
使用密码过期的帐户尝试登录系统;
使用密码即将到期的账号尝试登陆系统;
预期结果:
登录不成功
系统提示修改密码
配置账户口令复杂度
安全要求:
账户口令
(
包括
root
账户
)
长度至少
8
位,包括数字、小写字母、大写字母和特殊符号
4
类,并至少包含每类
1
个
字符。
通用策略:
该操作立即生效,对所有修改密码的命令有效。,一般设置为最短长度
8
个字符。
至少包含一个数字,一个小写字母,一个大写字母,一个特殊字符。
风险说明:
对于存在密码关联的用户,修改密码时须注意同步修改业务相关配置文件,否则会造成业务不可用。
操作方法:
设置密码规则:至少各有一个字符来自这些字符集
a-z
、
A-Z
、标点符号、
0-9
修改
/etc/pam.d/passwd
文件:
#vi /etc/security/passwd
确保下面行未被注释,如没有,请按以下顺序添加:
#%PAM-1.0
auth include system-auth
account include system-auth
password requisite pam_passwdqc.so enforce=everyone
password requisite pam_cracklib.so minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1
password include system-auth
操作验证:
验证方法:
创建一个普通账号,为用户配置与用户名相同的口令、只包含字符或数字的简单口令以及长度短于
8
位的口令,查看系统是否对口令强度要求进行提示;输入至少带有一个数字,一个小写字母,一个大写字母,一个特殊字符。
的复杂口令、查看系统是否可以成功设置。例如输入口令
P@ssw0rd
预期结果:
不符合密码强度的时候,系统对口令强度要求进行提示
符合密码强度的时候,可以成功设置
配置账户口令重复使用次数
安全要求:
使账户不能重复使用最近
2
次(含
2
次)内已使用的口令
通用策略:
根据业务加固策略决定是否允许设置此项
风险说明:
无
操作方法:
禁止使用最近
2
次使用的密码
修改
/etc/pam.d/passwd
确保下面行未被注释,如没有,请按以下顺序添加:
#vi /etc/pam.d/passwd
#%PAM-1.0
auth required pam_stack.so service=system-auth
account required pam_stack.so service=system-auth
password requisite pam_unix.so remember=2
password requisite pam_passwdqc.so enforce=everyone
password requisite pam_cracklib.so minlen=8 lcredit=-1 ucredit=-1 ocredit=-1 dcredit=-1 pam_stack.so
password include system-auth
操作验证:
验证方法:
使用用户帐号修改自己的密码,设置新密码与最近
2
次的旧密码相同;
预期结果:
如果设置的新密码与最近
2
次的旧密码相同,系统不接受该新密码。会提示:
You can now choose the new password or passphrase.