利用pam模块passwdqc限定linux用户密码强度

最新推荐文章于 2023-12-01 14:24:01 发布
最新推荐文章于 2023-12-01 14:24:01 发布
阅读量3.8k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全 linux 文章标签: linux 密码 密码强度 密码策略 passwdqc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dingodingy/article/details/84505427
本文介绍了如何通过pam模块passwdqc来强化Linux系统的密码强度,尤其是针对root用户的密码限制。passwdqc允许设定复杂的规则,例如禁止单一或双重字符类型密码,识别常见词汇并设定最小长度,以及防止过于相似的密码。此外,还提到了disable_firstupper_lastdigit_check选项,以避免特定字符识别问题。通过这样的设置,可以提升系统安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

限定linux上的root密码强度本身就是一个伪命题。root用户可以直接操作/etc/shadow 修改密码。之所以要这么搞主要还是为了稍微提高一下系统的安全性,毕竟不是人人都知道shadow的改法。
windows也类似,可以通过修改注册表的方式修改密码,但是windows的安全策略依然有密码强度的选项。
之所以选择passwdqc,是因为网上找了一下,发现绝大多数的linux密码强度策略限制都只针对非root用户,而passwdqc可以限定到root用户。
passwdqc的主页如下:
http://www.openwall.com/passwdqc/
配置文件的规则说明如下:
http://www.openwall.com/passwdqc/README.shtml

简单找一个我的规则解释一下:
(注:ubuntu的配置文件在/etc/pam.d/common-password redhat和centos的配置文件在/etc/pam.d/sys-auth)
我的规则是这样的: 
password required  pam_passwdqc.so min=disabled,disabled,12,8,8 max=30 passphrase=3 match=4 similar=deny enforce=everyone disable_firstupper_lastdigit_check


规则解释如下:
1)只包含一种字符的密码,拒绝(大小写,数字,特殊字符分别为4种字符)
2)只包含两种字符的密码,拒绝
3)如果密码中被识别出了常用的单词,那么最小长度就必须为12位。常用单词的最小识别长度为3.(由passphrase=3制定)
4)包含三种字符的密码,最小长度为8位
5) 包含四种字符的密码,最小长度为8位
6)如果发现本次修改的密码跟老密码有4个substring的长度类似,就认为是弱密码。(match=4 similar=deny)
7) 这个策略对所有用户都生效。(en
最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux系统的PAM模块认证文件含义说明总结
久伴你逍遥风的博客
05-24 5356
Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 一、PAM模块介绍 Linux-P...
基线合规整改指南
最新发布
好记性不如烂笔头
04-16 1216
{jboss_server_home}/deploy/ROOT.war/WEB-INF/web.xml文件xpath路径配置:/*[name()='web-app']/*[name()='servlet']/*[name()='servlet-name'][text()='Status Servlet']/following-sibling::*[name()='servlet-class'][text()='org.jboss.web.tomcat.service.StatusServlet']的节点。
LinuxPAM模块详解
weixin_45440548的博客
07-12 4551
一、pam简介 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制。这种方式下,就算升级本地认证机制,也不用修改程序。PAM使用配置/etc/pam.d/下的文件,来管理对程序的认证方式。应用程序调用相应的配置文件,从而调用本地的认证模块模块放置在/lib/security下,以加载动态库的形式进,像我们使用su命令时,系统会提示你输入root用户密码。这就是su命令通过
密码复杂度安全加固
xdmstar的专栏
12-10 1926
以下使用pam_passwdqc模块限制: password required pam_ passwdqc.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3 password sufficient pam_unix.so nullok use_authtok md5 shadow use_first_pass 上述这些规则其本质就是:不接受任何单种字符类的口
linux系统安全优化策略
u012171444的博客
05-02 3161
1、口令复杂度检查 重新启用某个旧密码,要确保此密码在继上次使用后已被修改过几次。此策略是管理员能够通过确保旧密码不被连续重新使用来增强安全性 参考配置操作,在/etc/pam.d/system-auth配置如下三种方案中的一种 1.1 引用pam_passwdqc.so 添加配置 password required pam_passwdqc.so min=disabled,disabled,12,disabled,8 enforce=everyone 规则解释如下: 1)只包含一种字符的密码
Linux命令
热门推荐
weixin_44265425的博客
06-14 25万+
Linux 学习笔记 LINUX常用操作命令和命令行编辑快捷键 终端快捷键: Ctrl + a/Home 切换到命令行开始 Ctrl + e/End 切换到命令行末尾 Ctrl + l 清除屏幕内容,效果等同于 clear Ctrl + u 清除剪切光标之前的内容 Ctrl + k 剪切清除光标之后的内容 Ctrl + y 粘贴刚才所删除的字符 Ctrl + r 在历史命令中查找 (这个非常好用,输入关键字就调出以前的命令了) Ctrl + c 终止命令 ctrl + o 重复执行命令 Ctrl + d 退
等保2.0测评:VMware ESXI
Enweitech Software Works
03-05 8874
从上世纪学术界提出虚拟化的理论以来,在IT行业中,虚拟化技术正在从日趋成熟的主流的服务器虚拟化、存储虚拟化技术蔓延到网络的各个角落。这里我们实际做测评的时候,也发现客户上云的趋势越来越高,目前还采用的实体机的已经比较少了,所以我们这里就来看一下客户用的比较多的VMware ESXI系统,针对于等保2.0的保护需求是怎样的。 系统版本查看 这里就略过安装的步骤了,配置好访问IP后,就可以直接输入IP地址访问我们的VMware ESXI系统了。 VMware ESXi 底层是一个定制版的Linux系统
PAM来增强LINUX服务器的安全(一)
weixin_33794672的博客
06-05 441
服务器的系统安全确实是一件让大多数用户头痛的事情:如何确保系统中使用应用程序或服务的用户确是用户本人?如何给这些用户指定限制访问服务的时间段?以及如何限制各种应用程序或服务对系统资源的使用率等等?所有的这些问题,常规的安全措施并不能妥善地解决。在使用Linux内核的RedHat企业Linux3中,已经集成了一种叫做可插入式认证模块(Pluggable Authentication Modules)...
centos5.1最小化安装过程
万俟飞技术博客
03-30 557
下面是整个centos5.1的安装过程,我是在vm上截图和步骤 1:创建vm 我创建了一个redhat5.0的vm,给他分配160m内存,把声卡,软驱删除掉。 由于我只分配160m内存,所以只能是文本方式的安装,如果图形化的安装,需要256m内存,如果是pxe的安装,最好是512m内存。 2:安装过程 整个安装的过程,我基本都是采用默认,那些我就没有截图,我把关键的地方进行截图 ...
禁用linux密码策略
weixin_30797027的博客
11-21 842
注释掉文件 /etc/pam.d/system-auth-ac中的password requisite pam_passwdqc.so enforce=everyone 这一行 #%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth...
[Linux] PAM学习笔记(一)
weixin_34240657的博客
11-27 263
1. 最小密码长度设置: PAM配置文件路径 /etc/pam.d/system-auth password required pam_cracklib.so retry=3 minlen=10 password required pam_unix.so sha512 shadow use_first_pass nullok use_authtok try_first_pass 2. 给ssh远程...
密码复杂度
weixin_30394333的博客
12-21 472
本文目的是在于限制用户修改自己密码或root修改自己密码时,给出长度,复杂度等等限制,防止弱密码被黑客等不法分子破解 服务器系统:centos 6.5 centos 6.8 1.密码有效期 cp /etc/login.defs /etc/login.defs.bak vim /etc/login.defs # Password aging controls: #...
linux 密码策略设置,设置Linux密码策略
weixin_36239768的博客
04-29 658
/etc/login.defsPASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0多少天后可修改PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效PASS_WARN_AGE 7...
Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)
weixin_34162629的博客
01-17 3868
1、Linux对应的密码策略模块有:pam_passwdqcpam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf 2、模块的添加方法:/etc/pam.d/pass...
linux修改用户密码 passwd: 模块未知 错误解决
weixin_42580471的博客
12-01 4668
将password required pam_passwdqc.so min=disabled,disabled,disabled,8,8 这一行注释调。查看发现,系统并没有使用pam_passwdqc.so模式,然后又。提示的是没有pam_passwdqc.so文件,通过命令。在我准备修改用户redis的密码时候,出现这个错误。
linuxPAM认证和shadow文件中密码的加密方式
海阔天空
03-18 3083
它是一种统一的认证方案。PAM 让您能随时改变您的认证方法以及需求,并且不需要重新编译任何代码就封装了所有本地认证方法。具体见 PAM 网站。 对于 PAM 您只需要做: 对您的密码采用不同于 DES 的加密方式(让它们面对暴力解码(brute-force decode)时更为坚固)。 对您所有用户使用资源限额,以防止他们进行拒绝服务(denial-of-service)攻击
centos设置密码复杂度
weixin_43842833的博客
08-16 4511
第一步:修改密码长度 vim /etc/login.defs 密码长度:PASS_MIN_LEN 将次文件中PASS_MIN_LEN = 5 修改成 PASS_MIN_LEN = 10 第二步:设置密码复杂类型 vim /etc/pam.d/system-auth password requisite pam_cracklib.so try_first_pass retry=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值