一、密码策略
1.1.密码策略
默认策略:
[root@hdp301 /]# cat /etc/login.defs
Linux操作系统建议设置密码策略:
- PASS_MAX_DAYS:90 # 密码的最大的有效期
- PASS_MIN_DAYS:2 # 2天后密码可修改
- PASS_WARN_AGE:7 # 密码失效前在7天用户登录时通知用户修改密码
- PASS_MIN_LENS:8 # 密码最小长度,使用pam_cracklib module,该参数不再有效
1.2.密码复杂度通过实施
默认:
修改后:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1- retry=N:重试多少次后返回密码修改错误
- difok=N:新密码必需与旧密码不同的位数
- dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字
- lcredit=N:小写字母的个数
- ucredit=N:大字母的个数
- ocredit=N:特殊字母的个数
- minclass=N:密码组成(大/小字母,数字,特殊字符)
- -1表示至少1位
1.3.设置认证失败锁定账户策略
默认策略:
[root@hdp301 /]# cat /etc/pam.d/login
修改为:
account required /user/lib64/security/pam_tally2.so deny=5 no_magic_root resetdeny=5 设置登录 5 次就将用户锁住
二、设置Linux用户连接空闲超时时间
2.1.针对所有用户
[root@hdp301 /]# cat etc/profile
2.2.针对特定用户
cd /home/sfyp_audit
vim .bash_profile
export TMOUT=300
export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S `whoami` " # 这将显示执行命令的用户
