linux安全加固-密码策略设置

1.1检查弱口令将被检查主机的/etc/shadow文件拷贝出来

在笔记本电脑上运行john the ripper工具检测弱口令

检查用户名和密码相同的弱口令

john.exe 'shadow' --single

使用pass.txt字典检查弱口令

john.exe 'shadow'

--wordlist='pass.txt'

使用 “passwd 用户名” 命令为用户设置复杂密码

---

2.2禁用无用账号

检查方法

使用命令“cat /etc/passwd”查看口令文件，与系统管理员确认不必要的账号

FTP等服务的账号，如果不需要登录系统，shell应该/sbin/nologin

加固方法 使用命令“passwd -l <用户名>”锁定不必要的账号

回退方法 使用命令“passwd -u <用户名>”解锁账号

---

2.3账号锁定策略

加固方法

设置连续输错10次密码，帐号锁定5分钟，

使用命令“vi /etc/pam.d/ system-auth”修改配置文件，添加

auth required pam_tally.so onerr=fail deny=10  unlock_time=300

回退方法 使用命令“passwd -u <用户名>”解锁账号

---

2.4密码设置策略

详细参数参考：https://www.cnblogs.com/kevingrace/p/5752632.html

1.1查看cat /etc/login.defs  

注释：

PASS_MAX_DAYS表示密码最大有效期，建议设置90天，

PASS_MIN_DAYS表示最短使用天数，不为0；

PASS_MIN_LEN表示密码最小长度，建议设置最小长度为8；

PASS_WARN_AGE表示密码过期前多少天开始告警，建议设置7天告警；

1.2查看 cat /etc/pam.d/system-auth

找到pam cracklib.so表示密码复杂度，建议至少8位，包含一位大写字母，一位小写字母和一位数字。

type=xxx      当添加/修改密码时，系统给出的缺省提示符是什么，用来修改缺省的密码提示文本。默认是不修改的，如上例。

minlen=8      定义用户密码的最小长度为8位

ucredit=-2    定义用户密码中最少有2个大写字母    （数字为负数，表示至少有多少个大写字母；数字为正数，表示至多有多少个大写字母；下面同理）

lcredit=-4    定义用户密码中最少有4个小写字母

dcredit=-1    定义用户密码中最少有1个数字

ocredit=-1    定义用户密码中最少有1个特殊字符（除数字、字母之外）

remember=5    修改用户密码时最近5次用过的旧密码就不能重用了

type= minlen=8 ucredit=-1 lcredit=-1 dcredit=-1