配置PAM认证模块

预备知识：Linux-PAM(Linux可插入认证模块)
实验靶机：
Kali Linux3
实验步骤：
1.打开终端，进入PAM配置文件夹：cd /etc/pam.d
2.编辑system-auth配置文件，命令：vi system-auth
3.禁止使用旧密码——找到passwo和pam_unix.so的字段并在其后面加上remeber=5（表示禁止使用最近使用过得五个密码）

4.设置最短密码长度——找到同时有password和pam_cracklib.so,(没有自己添加)将其修改为password requisite pam_cracklib.so try_first_pass retry=3 difok=3 minien=10(retry=3改变输入密码的次数，默认是1。difok=3这个参数设置允许新的密码于旧的密码相同字符的个数，即允许相同的个数为3；minlen=，即指密码最小长度为10)

5.设置密码复杂度——在pam_cracklib.so的参数后附加：ucredit=-1(至少包含一个大写字母) lcredit=-2 （两个小写字母）dcredit=-1(一个数字) ocredit=-1（和一个标点）

6.编辑/etc/pam.d/login文件，配置pam锁定多次登录失败的用户，在第一行的下面添加
auth required pam.tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=120

7.创建用户，并赋予密码。输入init 3 切换至终端界面进行登录测试。在root用户下输入pam_tally2 -u test,可以查看登录信息
8.总结：通过对密码长短，复杂程度登录，登录认证次数等相关策略，禁止使用前五次设置过得密码防止社会工程学攻击，设置登录3次失败锁定用户防止暴力破解，可实现对账户的进一步保护。