密碼策略
修改密碼過期策略
修改/etc/login.defs文件,控制密碼的有效期
# 密碼最長過期天數(shù)
PASS_MAX_DAYS 90
# 密碼最小過期天數(shù)
PASS_MIN_DAYS 0
# 密碼最小長度
PASS_MIN_LEN 16
# 密碼過期警告天數(shù)
PASS_WARN_AGE 7
查看密碼策略
chage -l 用戶名
$ chage -l | root
# 最近修改密碼時(shí)間
Last password change : Jan 24, 2018
# 密碼過期時(shí)間
Password expires : never
# 密碼失效時(shí)間
Password inactive : never
#
Account expires : never
# 兩次改變密碼之間間距的最小天數(shù)
Minimum number of days between password change : 0
# 兩次改變密碼之間間距的最大天數(shù)
Maximum number of days between password change : 99999
# 在密碼過期之前警告的天數(shù)
Number of days of warning before password expires : 7
修改密碼復(fù)雜度策略
控制密碼復(fù)雜度,需已安裝pam_cracklib,centos已默認(rèn)安裝
修改/etc/etc/pam.d/system-auth文件,添加如下語句,需放置在最前面,否則可能不生效
password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
參數(shù)說明
| 參數(shù) | 描述 |
|---|---|
| retry | 重試次數(shù) |
| difok | 密碼中需要多少個(gè)不同字符 |
| minlen | 密碼最小長度 |
| ucredit | 密碼中需要多少個(gè)大寫字符 |
| lcredit | 密碼中需要多少個(gè)小寫字符 |
| dcredit | 密碼中需要多少個(gè)數(shù)字類型 |
| dictpath | 密碼字典路徑 |
登錄失敗策略
IP白名單策略
1 修改/etc/hosts.allow文件,增加允許通過SSH連接的客戶端IP
# 單個(gè)IP
sshd:119.137.2.243
# IP地址段
sshd:119.137.2.
2 修改/etc/hosts.deny文件,增加禁止通過SSH連接的客戶端IP
# 禁止所有IP
sshd:ALL
# 禁止telnet
in.telnetd:ALL
3 重啟sshd服務(wù)和xinetd(可選)服務(wù),使之生效
service sshd restart
service xinetd restart
如果hosts.allow和hosts.deny文件均包含同一ip,則以hosts.all文件為準(zhǔn),如果只是單獨(dú)配置了hosts.all文件,并沒有在hosts.deny文件禁止,依然不生效
