Linux系统等保三级涉及的账号密码安全策略

查看当前用户的账号密码策略: chage -l root

1. 设置密码失效时间【一定要设置】

设置密码失效时间，强制定期修改密码，减少密码被泄漏和猜测风险，使用非密码登陆方式(如密钥对)请忽略此项。

在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间，如:

--两次改变密码之间相距的最大天数，密码有效最大天数

PASS_MAX_DAYS 90  

注意：以上只对之后新增的用户有效，如果要修改已存在的用户密码规则，需要使用chage命令

2. 设置密码修改最小间隔时间

设置密码修改最小间隔时间，限制密码更改过于频繁

在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7：

--两次改变密码之间相距的最小天数，为零时代表任何时候都可以更改密码

PASS_MIN_DAYS 7

注意：以上只对之后新增的用户有效，如果要修改已存在的用户密码规则，需要使用chage命令

3. 在到期前设置警告的天数【建议设置】

设备警告的天数，可以让我们备份旧密码、准备新密码

在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7天

PASS_WARN_AGE 7

注意：以上只对之后新增的用户有效，如果要修改已存在的用户密码规则，需要使用chage命令

4. 设置密码复杂度

简单的密码安全性很差，一般建议密码长度大于8，包括大小写字母、数字、特殊字符等

在 /etc/pam.d/common-password 添加如下内容（如果没有该文件自己创建一个）：

# /etc/pam.d/common-password - password-related modules common to all services

password        requisite       pam_cracklib.so retry=3 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

password        [success=1 default=ignore]      pam_unix.so sha512

password        requisite       pam_deny.so

password        required        pam_permit.so

“minlen=8”表示密码长度至少为8个字符。

“ucredit=-1”表示密码中至少包含一个大写字母。

“lcredit=-1”表示密码中至少包含一个小写字母。

“dcredit=-1”表示密码中至少包含一个数字。

“ocredit=-1”表示密码中至少包含一个特殊字符。

注意：以上只对之后新增的用户有效，如果要修改已存在的用户密码规则，需要使用chage命令

温馨提示：login.defs文件和/etc/pam.d/system-auth文件的规则设置对非root用户起作用，在root用户下则不会生效！如果设置root用户密码过期时间等，需要用chage命令进行设置。

chage命令使用示例：

基本格式：chage [选项] 账户名  

--  查看系统账户的当前设置

chage -l username    

-- 设置用户设置密码失效时间

chage --maxdays 90 username

-- 设置用户密码修改最小间隔时间

chage --mindays 7 username

检查密码重用是否受限制

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间

强制用户不重用最近5次使用的密码，降低密码猜测风险

设置SSH空闲超时退出时间

编辑/etc/ssh/sshd_config，将ClientAliveInterval 设置为300到900，即5-15分钟，将ClientAliveCountMax设置为0-3之间。

ClientAliveInterval 600

ClientAliveCountMax 2

账户尝试登录失败次数锁定策略

5次失败锁定时间为5分钟即300秒

修改配置文件/etc/pam.d/system-auth-ac和/etc/pam.d/password-auth-ac

auth        required      pam_env.so

auth        required      pam_tally2.so even_deny_root deny=5 unlock_time=300

auth        sufficient    pam_unix.so nullok try_first_pass

auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success

auth        required      pam_deny.so

account     required      pam_unix.so

account     required      pam_tally2.so

account     sufficient    pam_localuser.so

account     sufficient    pam_succeed_if.so uid < 1000 quiet

account     required      pam_permit.so