设置密码复杂性:
配置文件路径:
/etc/login.defs
- PASS_MAX_DAYS //密码最大过期时间
- PASS_MIN_DAYS //密码最短过期时间
- PASS_MIN_LEN //密码最短长度
- PASS_WARN_AGE //密码到期7天前过期
查看用户账户的基本信息:
change -l 用户名
设置用户两天内不能更改密码,并且口令最长存活时间为15天,过期前5天提醒用户修改:
chage -m 2 -M 30 -W 5 root
使用PAM模块对用户进行认证
vim /etc/pam.d/system-auth
配置禁止使用旧密码。
找到同时有:password和pam_unix.so字段的,并在其后加上remeber=5。表示禁止使用最近使用过的5个密码。
设置最短密码长度:找到同时有“password” 和 “pam_cracklib.so”那行,然后将其修改为:
password requisite pam_cracklib.so retry=3 difok=3 minlen=10
retry=3暗示了改变输入密码的次数。默认值为1,就是说用户输入密码如果强度不够我们可以重试三次。
minlen=10暗示密码最小长度为10
difok=3,默认为10,这里是指允许相同的字符个数为3
锁定多次登陆的用户
vim /etc/pam.d/login
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=120
创建用户test
useradd test
passwd test
然后可以感受下锁定策略了。
查看登录信息
pam_tally2