Linux安全加固手册

Linux安全加固手册

可用离线破解、暴力字典破解或者密码网站查询出帐号密钥的密码是否是弱口令

2）修改vi /etc/login.defs配置密码周期策略

此策略只对策略实施后所创建的帐号生效，以前的帐号还是按99999天周期时间来算。

3）/etc/pam.d/system-auth配置密码复杂度：

在文件中添加如下一行：

password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1

参数含义如下所示：

difok：本次密码与上次密码至少不同字符数

minlen：密码最小长度，此配置优先于login.defs中的PASS_MAX_DAYS

ucredit：最少大写字母

lcredit：最少小写字母

dcredit：最少数字

retry：重试多少次后返回密码修改错误

【注】用root修改其他帐号都不受密码周期及复杂度配置的影响。

1.2登录失败策略

要求：应启用登录失败处理功能，可采取结束会话、限制非法

登录次数和自动退出等措施。

目的：遭遇密码破解时，暂时锁定帐号，降低密码被猜解的可

能性

操作步骤：