linux centos7口令复杂度、登陆失败策略详解

前言

整改内容：

linux centos7配置口令复杂度和有效期策略

在服务器中配置口令复杂度策略：如密码由至少1位大小写字母、数字、特殊字符组成，口令有效期为90天。

在服务器中配置登录失败5次锁定账户3分钟，超时退出15分钟。

1、修改密码复杂度设置

编辑PAM配置文件/etc/pam.d/system-auth，加入以下行：

password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

解释：

• pam_cracklib.so 是一个密码强度检查模块。
• try_first_pass 表示优先使用前面已经输入的密码。
• retry=3 表示输入密码最多尝试3次。
• minlen=8 表示密码长度至少为8个字符。
• ucredit=-1 表示密码中至少要有1个大写字母。
• lcredit=-2 表示密码中至少要有2个小写字母。
• dcredit=-1 表示密码中至少要有1个数字。
• ocredit=-1 表示密码中至少要有1个特殊字符（如 @、#、$ 等）。

保存文件后，重新启动服务器或重新加载PAM模块以使更改生效。

2、设置密码有效期

编辑密码策略文件/etc/login.defs，在其中加入以下行：

PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_WARN_AGE 14

解释：

• PASS_MAX_DAYS 90 表示密码的最长有效期为90天。
• PASS_MIN_DAYS 0 表示可以在任何时候更改密码。
• PASS_WARN_AGE 14 表示在密码过期之前14天发出警告。

保存文件后，重新启动服务器或重新加载PAM模块以使更改生效。

3、配置登录失败锁定账户策略

编辑PAM配置文件/etc/pam.d/system-auth，在其中加入以下行：

auth required pam_tally2.so deny=5 unlock_time=180

解释：

• pam_tally2.so 是一个帐户访问控制和计数模块。
• deny=5 表示当有5次登录失败时，账户被锁定。
• unlock_time=180 表示账户在被锁定后，需要等待180秒（3分钟）才能再次登录。

保存文件后，重新启动服务器或重新加载PAM模块以使更改生效。

4、配置超时退出策略

编辑SSH服务配置文件/etc/ssh/sshd_config，在其中加入以下行：

ClientAliveInterval 900
ClientAliveCountMax 0

解释：

• ClientAliveInterval 900 表示SSH客户端将每900秒（15分钟）发送一次保持活动消息。
• ClientAliveCountMax 0 表示保持活动消息的数量没有限制。

保存文件后，重新启动SSH服务以使更改生效。

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持脚本之家。

最新评论