1、密码复杂度策略概念

    在Linux系统中,确保用户密码的复杂度是提高系统安全性的重要措施之一。通过配置密码策略,可以强制用户使用强密码,从而降低被破解的风险。本文将详细介绍如何在 Linux 系统中配置用户密码的复杂度,来确保密码的安全性。

    密码复杂度策略是指一系列规则,用于确保用户设置的密码满足一定的安全标准。这些规则通常包括密码的长度、包含的字符类型(大写字母、小写字母、数字和特殊字符)以及密码不能与用户名相同等要求。在Linux系统中,密码复杂度策略通常通过system-auth或pwquality.conf模块来配置。

2、系统环境

    系统环境:RedHat 8.0

    主要配置文件:system-auth和pwquality.conf

3、通过system-auth模块设置密码复杂度策略

  3.1、修改配置文件

    执行命令:vi /etc/pam.d/system-auth,在文件中password字段的首行增加: password requisite pam_cracklib.so retry=3 difok=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root ,password字段表示定义密码更改的规则,requisite表示如果该模块认证失败,则后续的模块不会执行。注:该参数新增在最后一行不生效,策略不生效

      参数解释:

      retry=3:密码验证失败时,用户有 3 次重新尝试的机会

      difok=3:密码更改时,允许新、旧密码相同字符的个数是3

      minlen=8:密码长度不少于8位

      ucredit=-1:密码中至少包含有1个大写字母

      lcredit=-1:密码中至少包含有1个小写字符

      dcredit=-1:密码中至少包含有1个数字

      ocredit=-1:密码中至少包含有1个特殊符号

      enforce_for_root:强制对root生效

  3.2、测试结论

    3.2.1、普通用户修改密码

      

    3.2.2、root用户修改密码

      

    3.2.3、测试结论

      通过测试发现:修改system-auth配置文件,对所有用户均生效。

4、通过pwquality.conf模块设置密码复杂度策略

  4.1、修改配置文件

    执行命令: vi /etc/security/pwquality.conf ,将文件中各参数前面的“#”删除,并设置各参数的数值。

   

      参数解释:

      difok = 3:密码更改时,允许新、旧密码相同字符的个数是3

      minlen = 8:密码长度不少于8位

      ucredit = -1:密码中至少包含有1个大写字母

      lcredit = -1:密码中至少包含有1个小写字符

      dcredit = -1:密码中至少包含有1个数字

      ocredit = -1:密码中至少包含有1个特殊符号

      minclass = 2:密码必须包含至少该整数值所指定的字符类别数量,例如,如果将“minclass”设置为2,则密码至少需要包含两个不同的字符类别(如数字和大写字母)

      maxrepeat:新密码中允许的最大连续相同字符数,如果为0代表禁用

      maxclassrepeat:新密码中允许的同一类的最大连续字符数

      authtok_type = enforce_for_root:表示root用户也需遵守该规则

  4.2、测试结论

    4.2.1、普通用户修改密码

      测试截图:

      

    4.2.2、root用户修改密码

      测试截图:

      

    4.2.3、测试结论

      通过测试发现:修改pwquality.conf配置文件,针对普通用户是生效的,但对于root用户而言只会提示,继续修改密码还是可以成功(不清楚为什么,有兴趣的大佬可以继续研究一下)。

5、同时修改system-auth和pwquality.conf配置文件

  5.1、修改配置文件   

    执行命令: vi /etc/pam.d/system-auth ,针对system-auth文件设置各参数:

    执行命令: vi /etc/security/pwquality.conf ,针对pwquality.conf设置各参数

  5.2、测试结论

    测试截图:

      

      通过密码修改测试发现,当system-auth和pwquality.conf配置文件中同时存在密码策略时,密码修改规则以system-auth配置为准,也就是说system-auth的优先级高于pwquality.conf文件。

  

RedHat8密码复杂度策略配置的更多相关文章

  1. MySQL密码复杂度策略

    前言 MySQL5.6.6版本之后增加了密码强度验证插件validate_password,相关参数设置的较为严格.使用了该插件会检查设置的密码是否符合当前设置的强度规则,若不满足则拒绝设置. 本文采 ...

  2. Linux系统密码复杂度安全配置

    密码有效期控制 在文件/etc/login.defs中进行设置,如下参数 PASS_MAX_DAYS 180 #密码最长过期天数 PASS_MIN_DAYS 30 #密码最小过期天数 PASS_MIN ...

  3. MySQL密码复杂度与密码过期策略介绍

    前言: 年底了,你的数据库是不是该巡检了?一般巡检都会关心密码安全问题,比如密码复杂度设置,是否有定期修改等.特别是进行等保评测时,评测机构会要求具备密码安全策略.其实 MySQL 系统本身可以设置密 ...

  4. 【ORACLE】oracle数据库用户密码复杂度配置

    -- 设置密码复杂度 SQL> @ /u01/app/oracle/product/11.2.0/db_1/rdbms/admin/utlpwdmg.sql -- 测试 SQL> alte ...

  5. linux加固安全之密码复杂度

    随着linux系统使用的普遍性,对linux用户及系统安全要求也随之提升,单纯从单位制度,用户安全意识上来规范,并不能杜绝弱口令,必须从技术上要求用户定时修改复杂的密码,从而提高用户和系统的安全性. ...

  6. oracle 11g/12c 密码复杂度验证设置

    ############################################################################### ###### 11g ###### ## ...

  7. 基于Memcached的tomcat集群session共享所用的jar及多个tomcat各种序列化策略配置

    原文:http://www.cnblogs.com/interdrp/p/4096466.html 多个tomcat各种序列化策略配置如下:一.java默认序列化tomcat配置conf/contex ...

  8. zabbix密码复杂度有效期安全增强,符合三级等保要求。

    一.关于三级等保要求 1.zabbix默认没有设置密码复杂度功能,密码有效期功能. 2.zabbix具备失败处理功能,但是没有页面手动调试,需要修改源代码. 3.zabbix具备超时退出功能. 二.整 ...

  9. Mariadb开启密码复杂度

    mariadb开启密码复杂度 #安装插件# INSTALL SONAME 'simple_password_check'; #设置输入错误多少次锁定# set global max_password_ ...

  10. Centos 7防火墙策略配置指南

    Centos 7防火墙策略配置指南 -- 清听凌雪慕忆 @ 目录 1. 开启防火墙 1.1 user切换到root用户 1.2 查看防火墙服务状态 1.3 查看firewall的状态 1.4 启动/关 ...

随机推荐

  1. 3.QMainWindow

    QMainWindow介绍 QMainWindow是一个为用户提供主窗口程序的类,包含一个菜单栏(menu bar),多个工具栏(tool bars),多个铆接部件(dock widgets),一个状 ...

  2. 2.mysql授权认证

    权限系统介绍 ● 什么是权限系统 权限系统是授予来自某个主机的某个用户可以查询.插入.修改.删除等数据库操作的权限 不能明确的指定拒接某个用户的连接 权限控制(授权与收回)的执行语句包括 create ...

  3. "一基双台三智" 中电金信智慧监督解决方案构筑国央企风控堡垒

    近年来,国务院国资委先后下发<关于进一步排查中央企业融资性贸易业务风险的通知>.<关于规范中央企业贸易管理严禁各类虚假贸易的通知>等各类监管法规,并在2024年初中央企业工作会 ...

  4. 【MyBatis】学习笔记05:获取参数值的两种方式

    [Mybatis]学习笔记01:连接数据库,实现增删改 [Mybatis]学习笔记02:实现简单的查 [MyBatis]学习笔记03:配置文件进一步解读(非常重要) [MyBatis]学习笔记04:配 ...

  5. Doc for DevNow

    前言 DevNow 是一个精简的开源技术博客项目模版,支持 Vercel 一键部署,支持评论.搜索等功能,欢迎大家体验. 首先庆祝下 DevNow star 在不久前过百,对我来说还是蛮有成就感的,感 ...

  6. bouncycastle(BC) 实现SM2国密加解密、签名、验签

    https://www.cnblogs.com/dashou/p/14656458.html SM2国密加解密一个类就够了 <dependency> <groupId>org. ...

  7. Sealos Devbox 基础教程:使用 Cursor 从零开发一个代码猜古诗小游戏

    给你一段代码,让你根据代码来猜对应的古诗词,你能猜对吗? 这不是玩笑,还真有人这么干 这是一张在 1024 程序员节流传的代码猜诗句小游戏,相信很多程序员小朋友都看到过. 今天我们将用魔法打败魔法,通 ...

  8. Qt/C++编写精美输入法(历时十年迭代/可换肤/支持Qt4/5/6/win/linux/mac/嵌入式等)

    一.前言 大概是从2012年就开始研究用Qt写输入法,因为项目需要,嵌入式板子上,没有对应的输入法,当初使用过很多NVR,里面也是鼠标按下弹出输入法面板进行输入,可以切换数字和字母及中文,于是借鉴着操 ...

  9. UML之包的导入与访问

    包是UML中管理元素的有效手段,UML中的所有元素均隶属于某一个包,即使你没有指定元素所属的包,这些元素也会被置于一个默认包中,包的本质是命名空间.当我们在一个包中需要访问另一个包中的元素时,可以使用 ...

  10. DotNetBar控件中,删除或移除AdvTree上指定名称的Node

    废话少说,直接上核心代码: string deleteNodeName = "节点1"; //移除advTree上指定名称的Node Node deleteNode = advTr ...