|
默认情况下Linux系统并不安全,新服务器安装需要更多配置,以确保它能够从坏人那里得到加强和保护,如果用户为其帐户设置了弱密码,黑客就很容易暴力破解帐户。 在Linux系统上创建本地用户时,你可以给它任何密码即使是最弱的,如“password”,如果允许用户重置密码,则此默认设置会对你的生产环境造成安全风险。 在本文中,我们将向你展示如何在Linux(Ubuntu/Debian)系统中强制使用强用户密码,这适用于新用户创建和密码重置。
在Debian/Ubuntu系统中实施安全密码策略 每30天或更短时间强制用户更改密码: $ sudo /etc/login.defs ... PASS_MAX_DAYS 30 我们将使用pwquality/pam_pwquality PAM模块来设置系统密码的默认密码质量要求。 在你的Ubuntu/Debian系统上安装libpam-pwquality软件包: sudo apt-get -y install libpam-pwquality cracklib-runtime 安装软件包后,你需要编辑/etc/pam.d/common-password文件以设置密码要求: sudo vim /etc/pam.d/common-password 从第25行更改: password requisite pam_pwquality.so retry=3 成: password requisite pam_pwquality.so retry=3 minlen=8 maxrepeat=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=3 gecoscheck=1 使用的选项: retry=3:在返回错误之前提示用户3次。 minlen=8:密码长度不能小于此参数。 maxrepeat=3:最多允许3个重复字符。 ucredit=-1:至少需要一个大写字符。 lcredit=-1:必须至少有一个小写字符。 dcredit=-1:必须至少有一位数。 difok=3:旧密码中不得出现的新密码中的字符数。 gecoscheck=1:用户passwd条目的GECOS字段中的单词不包含在新密码中。 更改设置以符合所需的密码策略,然后重新启动系统(shutdown,reboot,init,halt,poweroff,systemctl重启和关闭Linux系统): sudo reboot 然后,你可以添加测试用户帐户以确认你的密码策略正在运行: sudo useradd test 尝试设置弱密码: sudo passwd test
相关主题 |
