以下使用pam_passwdqc模块限制:
password required pam_
passwdqc.so min=disabled,12,8,6,5 max=40
passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3
password sufficient pam_unix.so nullok use_authtok md5 shadow use_first_pass
上述这些规则其本质就是:不接受任何单种字符类的口令;对两种字符混合的密码,强制口令最
小长度是12位;对口令字强制最小长度是8位;对3种字符混合的密码强制最小长度是6位;4种字
符混合的密码强制最小长度是5位。所谓4种字符混合的密码就是由“数字”,“小写字母”,“大写字母”,以及
“其它字符”组成(其它字符就是类似“!”、“_”这种)。另外,上述这些规则同时还强制任何口令长度不得超过40位。
/etc/pam.d/system-auth文件中minclass大于等于2,minlen大于等于8
/etc/security/pwquality.conf
grep "^minclass" /etc/security/pwquality.conf
grep "minclass" /etc/security/pwquality.conf
/etc/pam.d/system-auth
Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)
SkTj
2018.01.17 10:40:54
字数 449
阅读 17,486
1、Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf
2、模块的添加方法:/etc/pam.d/passwd
password required pam_pwquality.so retry=3
3、模块的配置方法有两种:
一、password required pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0
二、添加到/etc/security/pwquality.conf 中
4、/etc/security/pwquality.conf详解:
retry=N:定义登录/修改密码失败时,可以重试的次数;
Difok=N:定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时,该新密码将被接受;
minlen=N:定义用户密码的最小长度;
dcredit=N:定义用户密码中必须包含多少个数字;
ucredit=N:定义用户密码中必须包含多少个大写字母;
lcredit=N:定义用户密码中必须包含多少个小些字母;
ocredit=N:定义用户密码中必须包含多少个特殊字符(除数字、字母之外);
其中 =-1表示,至少有一个
5、/etc/login.defs详解:
PASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期
PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0多少天后可修改
PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效
PASS_WARN_AGE 7 #密码失效前多少天在用户登录时通知用户修改密码
6、实际生产环境配置
/etc/security/pwquality.conf :
minlen = 8
minclass = 1
maxrepeat = 0
maxclassrepeat = 4
lcredit = -1
ucredit = -1
dcredit = -1
ocredit = -1
difok=5
/etc/login.defs:
PASS_MAX_DAYS 90
PASS_MIN_LEN 12
PASS_MIN_DAYS 7
PASS_WARN_AGE 30
UMASK 077
扫一扫
2489
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
