摘要:Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用,不过,如果不做好用户账号密码的安全管理,系统的安全性得不到更好的保障。因此,为提高系统的稳定性,加强账号密码安全管理必不可少。比如账号密码的安全策略配置,因为账号密码的安全又是Linux安全中的第一道安全锁,需要给予足够的重视。
本文将使用CentOS7操作系统,详细介绍账号密码管理的风险点及其防范措施。详细内容请参考下文。
一、访问Linux
1、登录Linux
2、查看linux版本
二、账号密码管理
1、查看当前用户的帐号密码策略
执行指令# chage -l root
备注:上述的帐号密码策略存在风险,一旦root帐号被破解,风险极大,需要加强帐号密码的安全管理。
2、设置帐号密码策略
说明:加强帐号密码的安全管理,需要从设置SSH登录的安全管理;设置账户的锁定策略,设置密码的复杂度,密码失效时间,修改密码的最小间隔时间,密码到期的警告天数,检查密码的重用是否受限制等七个方面加强管理。
(1)、设置SSH空闲超时退出时间
执行指令# vim /etc/ssh/sshd_config
备注:编辑/etc/ssh/sshd_config,将ClientAliveInterval(闲置时间)设置为300到900,即5-15分钟,将ClientAliveCountMax(活跃用户数)设置为0-3之间。本文中将闲置时间设置为600,即为10分钟,活跃用户限定为2位。
(2)、设置账户的锁定策略
说明:帐号锁定策略可以根据需要设置,包括帐号锁定的阈值,锁定的时间以及用户范围三个方面。本文中将帐号锁定的阈值设置为5次,即如果输错5次密码,将会锁定帐号;这期间帐号锁定的时间设置为10分钟,即10分钟内帐号不允许尝试登录,只能等过了10分钟才能输入密码登录;上述策略将对所有帐号(包括root)进行策略设置。
设置root帐号锁定策略
执行指令# chage –maxdays 180 root 设置root密码的失效时间
执行指令# chage –mindays 7 root 设置root密码修改的最小间隔时间
设置非root帐号的锁定策略
执行指令# vim /etc/pam.d/system-auth-ac
执行指令# vim /etc/pam.d/ password-auth-ac
备注:/etc/pam.d/ password-auth-ac文件和/etc/pam.d/system-auth文件的规则设置对非root用户起作用,在root用户下则不会生效!如果设置root用户密码过期时间等,需要用chage命令进行设置。
(3)、设置密码的复杂度
说明:简单的密码安全性很差,一般建议密码为强密码,即密码长度大于8,包括大小写字母、数字、特殊字等。
执行指令# vim
/etc/pam.d/common-password创建并输入以下内容
password requisite pam_cracklib.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
password [success=1 default=ignore] pam_unix.so sha512
password requisite pam_deny.so
password required pam_permit.so
备注:以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令。
(4)、设置密码失效时间
说明:设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。
执行指令# vim /etc/login.defs设置密码失效时间参数,将其中的参数PASS_MAX_DAYS设置为60-360之间。
备注:参数PASS_MAX_DAYS表示两次改变密码之间相距的最大天数,密码有效最大天数。还有,以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令。
(5)、修改密码的最小间隔时间
说明:设置密码修改最小间隔时间,限制密码更改过于频繁。
执行指令# vim /etc/login.defs修改参数PASS_MIN_DAYS值
备注:参数PASS_MIN_DAYS的值表示两次改变密码之间相距的最小天数,为零时代表任何时候都可以更改密码。本文将该参数的值设置为7,则表示禁止7天内再次修改密码。还有,以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令。
(6)、设置密码到期前的警告天数
说明:设备密码到期的警告天数,方便为修改密码做好准备,备份旧密码并准备新密码。
备注:参数PASS_WARN_AGE的值表示密码到期前出现警告的天数,该值为7,表示在密码到期的7天出现警告,提醒用户修改密码。同样,以上只对之后新增的用户有效,如果要修改已存在的用户密码规则,需要使用chage命令。
(7)、检查密码重用时是否受限制
说明:强制用户不重用最近使用的密码,降低密码猜测攻击风险。在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。
执行指令# vim /etc/pam.d/system-auth
执行指令# vim /etc/pam.d/password-auth
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至2705686032@qq.com 举报,一经查实,本站将立刻删除。原文转载: 原文出处:
