centos7操作系统

在CentOS 7上实现密码复杂度策略设置

一.使用login.defs文件

解析:/etc/login.defs 是设置新建用户帐号限制的文件。该文件里的配置对root用户无效。/etc/login.defs 文件用于在Linux创建用户时,对用户的一些基本属性做默认设置,例如指定用户 UID 和 GID 的范围,用户的过期时间,密码的最大长度等

可用参数

PASS_MAX_DAYS

PASS_MIN_DAYS

PASS_MIN_LEN

PASS_WARN_AGE

UID_MIN

UID_MAX

GID_MIN

GID_MAX

CREATE_HOME

UMASK 077

USERGROUPS_ENAB

ENCRYPT_METHOD

二./etc/security/pwquality.conf详解

可用参数

 1 retry=N:定义登录/修改密码失败时,可以重试的次数;

 2 Difok=N:定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时,该新密码将被接受

 3 minlen=N:定义用户密码的最小长度

 4 dcredit=N:定义用户密码中必须包含多少个数字

 5 ucredit=N:定义用户密码中必须包含多少个大写字母

 6 lcredit=N:定义用户密码中必须包含多少个小些字母

 7 ocredit=N:定义用户密码中必须包含多少个特殊字符(除数字、字母之外)

 8 minclass=N: 密码组成至少拥有的字符种类(数字,大写字母小写字母特殊字符)

 9 maxrepeat=N: 密码组成允许的最长连续字母长度

10 maxclassrepeat=N: the maximum number of allowed consecutive(连续)characters of the same class in the new password

11

12 其中 N=-1表示,至少有一个 |对于密码策略 <0表示最少要含有 >0表示最多

13 N=0 不检查

14 N=1

三 使用PAM pwquality模块完成  关键词: /etc/pam.d/system-auth

linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf

如果直接在system-auth文件修改的话可能要加一下参数 但是如果直接找到文件的话就可以直接修改文件对应参数的数字

1 vi /etc/pam.d/system-auth
#进入system-auth文件后源文件为

由上面的pam模块文件内容看,可以将pam配置文件分为四列

  • 第一列代表模块类型
  • 第二列代表控制标记
  • 第三列代表模块路径
  • 第四列代表模块参数

文件解析

第一列

1. auth组件:认证接口(authentication) 要求验证密码

2.account组件:检测用户是否允许访问.检测用户是否过期或则在末端时间内能否登陆

3.password组件:设置并验证密码

4.session组件:配置和管理用户sesison

第二列

1. required:该模块必须success才能进行继续。即使失败用户也不会立刻获知,直到所有相关模块完成

2.requisite:该模块必须success才能使认证继续进行. 如果模块失败则立刻停止执行

3.suffifient:如果失败则忽略

4.optinal:忽略结果,不管是否失败

第三列

PAM模块 结合管理类型 说明
pam_unix.so

auth

提示用户输入密码,并与/etc/shadow文件相比对.匹配返回0
account 检查用户的账号信息(包括是否过期等).帐号可用时,返回0.
password 修改用户的密码. 将用户输入的密码,作为用户的新密码更新shadow文件
pam_shells.so

auth

account

 如果用户想登录系统,那么它的shell必须是在/etc/shells文件中之一的shell
pam_deny.so

account

auth

password

session

 该模块可用于拒绝访问
pam_permit.so

auth

account

password

session

 模块任何时候都返回成功.
pam_securetty.so auth 如果用户要以root登录时,则登录的tty必须在/etc/securetty之中.
pam_listfile.so

auth

account

password session

 访问应用程的控制开关
pam_cracklib.so password

这个模块可以插入到一个程序的密码栈中,用于检查密码的强度.
pam_limits.so session 定义使用系统资源的上限,root用户也会受此限制,可以通过/etc/security/limits.conf或/etc/security/limits.d/*.conf来设定

centos7的密码安全策略加固的更多相关文章

  1. Centos7添加密码安全策略

    设置密码中至少包含一个小写字符,执行命令:# authconfig --enablereqlower --update查看设置:# grep "^lcredit" /etc/sec ...

  2. Centos7破解密码的两种方法--技术流ken

    Centos7忘记密码   在工作或者自己练习的时候我们难免会大意忘掉自己的root密码,有些同学忘掉密码竟然第一选择是重装系统,工作中可万万使不得! 本篇博客将讲解两种最常用的破解centos7忘掉 ...

  3. centos7忘记密码解决办法

    centos7重置密码: centos7一改以往风格,很多方面都做了改进,尤其是修改root密码,一般centos6以前直接进入grub然后从单用户模式进去就可以修改,可centos7不同,笔者今天修 ...

  4. centos7忘记密码处理办法

    centos7忘记密码处理办法 此界面按e进入grub编辑界面 进入grub编辑界面.把linux16这行的ro修改为rw init=/sysroot/bin/sh. 按ctrl+x进入单用户模式 登 ...

  5. centos7 修改密码

    Centos7破解密码的方法   Centos7忘记密码   在工作或者自己练习的时候我们难免会大意忘掉自己的root密码,有些同学忘掉密码竟然第一选择是重装系统,工作中可万万使不得! 本篇博客将讲解 ...

  6. centOS7忘记密码,修改root账号密码

    centOS7忘记密码,修改root账号密码 RHEL7 的世界发生了变化,重置 root 密码的方式也一样.虽然中断引导过程的旧方法(init=/bin/bash)仍然有效,但它不再是推荐的.“Sy ...

  7. Centos7 忘记密码解决方法

    一.Centos7 忘记密码解决方法 1.进入单用户模型 重启 Linux 系统主机并出现引导界面时,按下键盘上的 e 键进入内核编辑界面 然后按向下键,找到以“Linux16”开头的行,在该行的最后 ...

  8. 完整的WindowsServer服务器系统初始化配置、安全策略加固和基线检查脚本等保2.0适用

    转载自:https://www.bilibili.com/read/cv14326780?spm_id_from=333.999.0.0 0x00 前言简述 最近单位在做等保测评,由于本人从事安全运维 ...

  9. CentOS7 登陆密码遗忘和修改

    在虚拟机当中我们设置的linux密码可能会遗忘,那么我们怎么来找回密码,并且重置密码呢? 1:我们需要进入单用户模式才能修改密码      1:重启linux,进入grub界面,敲击空格键暂停 2:按 ...

  10. linux centos7 root密码重置

    转:http://blog.chinaunix.net/uid-21209618-id-4738916.html 分类: LINUX 三年左右没接触linux技术工作,忘记的有很多.不知该怎么去运用. ...

随机推荐

  1. 打印出来的数据{ob: observer}、vue 中 [__ob__: Observer]问题

    问题效果: 理想效果: 解决方案:JSON.parse(JSON.stringify( ob )) 首先我们要把这个数据获取原始数据 JSON.stringify([data])   变成字符串 然后 ...

  2. ASP判断一个字符是否为汉字的两种方法

    有的时候我们要求用户一定要输入汉字的信息,比如姓名和地址.那么,如何判断一个字符是不是汉字呢?其实在asp中至少有两种方法: 一.直接将某字符用asc转为ascii码,如果是英文,他应该是0-127的 ...

  3. 百度脑图kityminder

    KityMinder Editor 是一款强大.简洁.体验优秀的脑图编辑工具,适合用于编辑树/图/网等结构的数据. 编辑器由百度 FEX 基于 kityminder-core 搭建,并且在百度脑图中使 ...

  4. Educational Codeforces Round 138 (Rated for Div. 2) - D. Counting Arrays

    数论 + 计数 Problem - D - Codeforces 题意 给定整数 \(n\;(1<=n<=3e5),\;m\;(1<=m<=1e12)\) 要求求长度为 \(n ...

  5. undrop-for-innodb

    undrop是一款针对mysql innodb的数据恢复工具,通过扫描文件或磁盘设备,然后解析innodb数据页进而恢复丢失的数据,对于drop.truncate以及文件损坏都很有帮助.本文介绍dro ...

  6. C# DevExpress GridControl中BandedGridView表格使用

    1.设计器方式创建 1.点击"Change view">>然后在选中"Convert to"选项>>最后选中点击"Banded ...

  7. R包本地安装方法

    问题 需要安装一个R的测试包 但是这个包没有在cran中 也没有在biomanager中 于是决定使用devtools-github安装 遇到问题 无法下载github上的R包 策略 使用local方 ...

  8. Deer_GF之UI界面制作

    Hi,今天介绍一下Deer_Gf里的界面制作.       在游戏制作的过程中,游戏界面占到游戏的百分之八十,可以快速开发界面,对游戏开发有很大帮助.       所以在Deer_Gf框架里,为了让开 ...

  9. 前端JavaScript深拷贝的三种方法,看了不后悔!!!

    深拷⻉ 深拷⻉开辟⼀个新的栈,两个对象属完成相同,但是对应两个不同的地址,修改⼀个对象的属性,不会 改变另⼀个对象的属性 常⻅的深拷⻉⽅式有: _.cloneDeep() jQuery.extend( ...

  10. 对APP渗透测试之抓包

    一.APP渗透测试的原理 APP(手机软件),APP测试和web测试基本没有区别,一个网站存在SQL注入,用PC端浏览器去访问存在SQL注入漏洞,用手机浏览器去访问一样也存在SQL注入漏洞. 大部分漏 ...