Linux系统密码复杂度校验规则修改

0    302    2

Tags:

👉 本文共约1519个字,系统预计阅读时间或需6分钟。

现象

解决:取消密码复杂度校验

适用于CentOS、麒麟系统、欧拉系统:

文件在:/usr/lib64/security/pam_unix.so

其中,pam_unix.so可以修改为pam_cracklib.so,但需要保证so文件存在。

三个auth都会用来进行登陆检查,即使第一个模块失败,用来防止用户知道在哪个过程失败,主要目的是防止攻击。
auth 组件:认证接口,要求并验证密码
account组件:检测是否允许访问。检测账户是否过期或则在末端时间内能否登陆。
password组件:设置并验证密码
session组件:配置和管理用户sesison。

required:该模块必须success才能进行继续。即使失败用户也不会立刻获知,直到所有相关模块完成。
requisite:该模块必须success才能使认证继续进行。
suffifient:如果失败则忽略。
optinal:忽略结果,不管是否失败。

配置密码复杂度

密码复杂度:定期更换策略,避免弱口令

修改 /etc/login.defs文件,加入如下内容即可:

密码复杂度:设置密码强度

密码强度主要涉及到密码长短、密码是否包含数字、密码是否包含大写字母、密码是否包含小写字母、密码是否包含其他字符、新密码所需的最小字符种类、密码最大相同字符连续数量、新密码中同一类别允许的最大连续字符数、新密码和旧密码相同字符数数量等。

在Red Hat Enterprise Linux 7和相同版本的CentOS操作系统下,我们需要编辑/etc/pam.d/system-auth文件,将如下内容在相应位置添加即可。

retry = 3 (在返回错误之前,最多提示用户N次。默认值为1)

difok = 5(新密码和旧密码相同字符数数量)

minlen=8(新密码的最小可接受大小)

lcredit=1(新密码中包含小写字符的最大数量,如果小于0,则为新文件中的最小小写字符数)

dcredit=-1(密码中包含所需数字的最小数量,如果小于0,则为新文件中的最小小写字符数)

maxrepeat=3(新密码中允许的最大连续相同字符数。如果该值为0,则禁用该检查)

本人提供Oracle(OCP、OCM)、MySQL(OCP)、PostgreSQL(PGCA、PGCE、PGCM)等数据库的培训和考证业务,私聊QQ646634621或微信dbaup66,谢谢!
AiDBA后续精彩内容已被站长无情隐藏,请输入验证码解锁本文!
验证码:
获取验证码: 请先关注本站微信公众号,然后回复“验证码”,获取验证码。在微信里搜索“AiDBA”或者“dbaup6”或者微信扫描右侧二维码都可以关注本站微信公众号。

标签:

Avatar photo

小麦苗

学习或考证,均可联系麦老师,请加微信db_bao或QQ646634621

您可能还喜欢...

发表回复