如何在Linux中实施密码策略（Ubuntu / CentOS）

尽管Linux被认为是一个安全的操作系统，但其安全性与登录用户的密码强度一样。密码策略的存在是为了确保为用户设置一个强大的密码，作为一个Linux用户，你应该注意执行这些策略，使违规行为难以发生。你肯定不希望用户配置弱密码或容易猜测的密码，这些密码可以在几秒钟内被黑客强行破解。
在这篇文章中，我们将触及如何在Linux，更具体地说是CentOS和Ubuntu中执行密码策略。我们将介绍如何执行密码策略，如密码到期时间、密码复杂度和密码长度。
一、在Ubuntu / Debian中执行密码策略
你可以通过2种主要方式来执行密码策略。让我们来详细了解一下每种方式。
1、配置可以使用密码的最大天数
首先，您可以配置一个密码策略，该策略要求用户在一定天数后更改密码。实践表明，应该定期更改密码，以防止恶意用户受到控制，并使他们更难以破坏系统。这不仅适用于Linux，还适用于Windows和macOS等其他系统。
为此，在Debian / Ubuntu中，您需要修改/etc/login.defs文件并注意PASS_MAX_DAYS属性。
默认情况下，它被设置为99999天，如图所示。

您可以将其修改为合理的期限，例如30天。只需将当前值设置为30，如图所示，然后保存更改即可。30天后，您将需要创建一个新的密码。

2、使用pam配置密码复杂度
确保密码满足一定程度的复杂性同样至关重要，这将进一步阻止黑客使用暴力侵入您的系统的任何尝试。
通常，强密码应包含大写，小写，数字和特殊字符的组合，并且长度至少应为12-15个字符。
要在Debian / Ubuntu系统中强制设置密码复杂性，您需要安装libpam-pwquality软件包，如下所示：
$ sudo apt install libpam-pwquality

安装完成后，前往/etc/pam.d/common-password文件，从该文件中设置密码策略。默认情况下，文件显示如下：

找到下面显示的行
password requisite pam_pwquality.so retry=3
在该行添加以下属性：
minlen=12 maxrepeat=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=4 reject_username enforce_for_root
整个行应如下所示：

让我们充实这些指令的含义：
retry = 3：此选项将提示用户3次，然后退出并返回错误。
minlen = 12：这指定密码不能少于12个字符。
maxrepeat = 3：密码中最多只能包含3个重复字符。
ucredit = -1：要求密码中至少包含一个大写字符。
lcredit = -1：要求密码中至少包含一个小写字符。
dcredit = -1：密码最后应包含一个数字字符。
ocredit = -1：要求密码中至少包含一个特殊字符。
difok = 3：新密码中最多只能有3个字符的更改出现在旧密码中。
reject_username：如果该选项以常规方式或相反方式包含用户名，则该选项将拒绝密码。
force_for_root：即使是配置密码的root用户，这也可以确保遵守密码策略。
二、在CentOS / RHEL中实施密码策略
对于Debian和Ubuntu系统，我们通过更改/etc/pam.d/common-password配置文件来实施密码策略。
对于CentOS 7和其他派生产品，我们将修改/etc/pam.d/system-auth 或/etc/security/pwquality.conf 配置文件。
因此，继续并打开文件：
$ sudo vim /etc/pam.d/system-auth
找到下面显示的行
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
如图所示，将选项附加在行中。
minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
你最终得到下面这一行：

完成后，保存密码策略并退出文件。
再试一次，当您尝试使用弱密码创建不符合强制策略的用户时，您将遇到终端中显示的错误。

实施密码策略非常容易，并且是防止用户设置弱密码的极好方法，因为弱密码容易被猜中或容易受到暴力攻击。通过执行这些策略，您可以放心，您已经加强了系统的安全性，并使黑客更难以入侵您的系统。
————————————————
版权声明：本文为CSDN博主「oMcLin」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/oMcLin/article/details/107974887