Linux系统密码策略加固指南

密码策略加固概览

加固说明

本指南提供了完整的Linux系统密码策略加固方案，包含8个关键安全配置点，全面增强系统安全性：

1. 安全效果： 有效防御暴力破解、弱密码攻击和凭证泄露风险；
2. 合规要求： 满足等保2.0三级对密码策略的所有要求；
3. 适用系统： CentOS, RHEL, Ubuntu等主流Linux发行版。

注意事项

详细加固步骤

1. 密码复杂度启用
目标： 启用系统密码复杂度检查
操作命令：

# 编辑PAM配置文件
sed -i '/pam_pwquality.so/s/$/ enforce_for_root/' /etc/pam.d/password-auth

# 配置密码质量策略
echo -e "dictcheck = 1\nusercheck = 1\npalindromic" >> /etc/security/pwquality.conf

# 启用密码相似性检查
sed -i '/no_similar_check/s/^/#/' /etc/security/pwquality.conf

说明：启用字典检查、用户名检查、回文检查，并启用相似性检查。

2. 密码复杂度配置
目标： 设置密码复杂度要求
操作命令：

# 配置密码复杂度要求
echo -e "dcredit = -1\nucredit = -1\nlcredit = -1\nocredit = -1" >> /etc/security/pwquality.conf

# 解释：
# dcredit = -1  # 至少1位数字
# ucredit = -1  # 至少1位大写字母
# lcredit = -1  # 至少1位小写字母
# ocredit = -1  # 至少1位特殊字符

说明：配置密码必须包含数字、大小写字母和特殊字符。

** 3. 口令生命周期设置**
目标： 设置密码最长使用期限
操作命令：

# 为所有用户设置密码最长使用期限
for user in $(awk -F: '{if($3>=1000||$3==0) print $1}' /etc/passwd); do
  chage -M 90 $user
done

# 修改全局设置
echo "PASS_MAX_DAYS 90" >> /etc/login.defs

说明：强制用户每90天必须更改密码。

4. 口令更改最短间隔
目标： 设置密码最短使用期限
操作命令：

# 为所有用户设置密码最短使用期限
for user in $(awk -F: '{if($3>=1000||$3==0) print $1}' /etc/passwd); do
  chage -m 6 $user
done

# 修改全局设置
echo "PASS_MIN_DAYS 6" >> /etc/login.defs

说明： 防止用户频繁修改密码以重复使用旧密码。

5. 口令最小长度
目标： 设置密码最小长度
操作命令：

# 设置密码最小长度
echo "PASS_MIN_LEN 8" >> /etc/login.defs

说明： 所有用户密码长度至少为8个字符。

6. 口令过期前警告天数
目标： 设置密码过期警告
操作命令：

# 为用户设置密码过期警告
for user in $(awk -F: '{if($3>=1000||$3==0) print $1}' /etc/passwd); do
  chage --warndays 30 $user
done

# 修改全局设置
echo "PASS_WARN_AGE 30" >> /etc/login.defs

说明： 在密码过期前30天开始警告用户。

7. 密码历史设置
目标： 设置密码历史记录
操作命令：

# 编辑PAM配置文件
sed -i '/pam_pwquality.so/a password requisite pam_pwhistory.so remember=5 enforce_for_root' /etc/pam.d/password-auth

说明： 系统会记住最近5次密码，防止重复使用旧密码。

8. 会话超时设置
目标： 设置用户会话超时时间
操作命令：

# 设置会话超时时间（10分钟）
echo "TMOUT=600" >> /etc/profile

# 使设置立即生效
source /etc/profile

说明： 用户10分钟无操作后自动注销会话。