雖然 Linux 的設(shè)計(jì)是安全的，但還是存在許多安全漏洞的風(fēng)險(xiǎn)，弱密碼就是其中之一。作為系統(tǒng)管理員，你必須為用戶提供一個(gè)強(qiáng)密碼。因?yàn)榇蟛糠值南到y(tǒng)漏洞就是由于弱密碼而引發(fā)的。本教程描述了在基于 DEB 系統(tǒng)的 Linux，比如 Debian、Ubuntu、Linux Mint 等和基于 RPM 系統(tǒng)的 Linux，比如 RHEL、CentOS、Scientific Linux 等的系統(tǒng)下設(shè)置像密碼長(zhǎng)度、密碼復(fù)雜度、密碼有效期等密碼策略。

在基于 DEB 的系統(tǒng)中設(shè)置密碼長(zhǎng)度

默認(rèn)情況下，所有的 Linux 操作系統(tǒng)要求用戶密碼長(zhǎng)度最少 6 個(gè)字符。我強(qiáng)烈建議不要低于這個(gè)限制。并且不要使用你的真實(shí)名稱、父母、配偶、孩子的名字，或者你的生日作為密碼。即便是一個(gè)黑客新手，也可以很快地破解這類密碼。一個(gè)好的密碼必須是至少 6 個(gè)字符，并且包含數(shù)字、大寫(xiě)字母和特殊符號(hào)。

通常地，在基于 DEB 的操作系統(tǒng)中，密碼和身份認(rèn)證相關(guān)的配置文件被存儲(chǔ)在 /etc/pam.d/ 目錄中。

設(shè)置最小密碼長(zhǎng)度，編輯 /etc/pam.d/common-password 文件；

$ sudo nano /etc/pam.d/common-password

找到下面這行：

password [success=2 default=ignore] pam_unix.so obscure sha512

在末尾添加額外的文字：minlen=8。在這里我設(shè)置的最小密碼長(zhǎng)度為 8。

password [success=2 default=ignore] pam_unix.so obscure sha512 minlen=8

保存并關(guān)閉該文件。這樣一來(lái)，用戶現(xiàn)在不能設(shè)置小于 8 個(gè)字符的密碼。

在基于 RPM 的系統(tǒng)中設(shè)置密碼長(zhǎng)度

在 RHEL、CentOS、Scientific Linux 7.x 系統(tǒng)中， 以 root 身份執(zhí)行下面的命令來(lái)設(shè)置密碼長(zhǎng)度。

# authconfig --passminlen=8 --update

查看最小密碼長(zhǎng)度，執(zhí)行：

# grep "^minlen" /etc/security/pwquality.conf

輸出樣例：

minlen = 8

在 RHEL、CentOS、Scientific Linux 6.x 系統(tǒng)中，編輯 /etc/pam.d/system-auth 文件：

# nano /etc/pam.d/system-auth

找到下面這行并在該行末尾添加：

password requisite pam_cracklib.so try_first_pass retry=3 type= minlen=8

如上設(shè)置中，最小密碼長(zhǎng)度是 8 個(gè)字符。

在基于 DEB 的系統(tǒng)中設(shè)置密碼復(fù)雜度

此設(shè)置會(huì)強(qiáng)制要求密碼中應(yīng)該包含多少類型，比如大寫(xiě)字母、小寫(xiě)字母和其他字符。

首先，用下面命令安裝密碼質(zhì)量檢測(cè)庫(kù)：

$ sudo apt-get install libpam-pwquality

之后，編輯 /etc/pam.d/common-password 文件：

$ sudo nano /etc/pam.d/common-password

為了設(shè)置密碼中至少有一個(gè)大寫(xiě)字母，則在下面這行的末尾添加文字 ucredit=-1。

password requisite pam_pwquality.so retry=3 ucredit=-1

設(shè)置密碼中至少有一個(gè)小寫(xiě)字母，如下所示。

password requisite pam_pwquality.so retry=3 lcredit=-1

設(shè)置密碼中至少含有其他字符，如下所示。

password requisite pam_pwquality.so retry=3 ocredit=-1

正如你在上面樣例中看到的一樣，我們?cè)O(shè)置了密碼中至少含有一個(gè)大寫(xiě)字母、一個(gè)小寫(xiě)字母和一個(gè)特殊字符。你可以設(shè)置被最大允許的任意數(shù)量的大寫(xiě)字母、小寫(xiě)字母和特殊字符。

你還可以設(shè)置密碼中被允許的字符類的最大或最小數(shù)量。

下面的例子展示了設(shè)置一個(gè)新密碼中被要求的字符類的最小數(shù)量：

password requisite pam_pwquality.so retry=3 minclass=2

在基于 RPM 的系統(tǒng)中設(shè)置密碼復(fù)雜度

在 RHEL 7.x / CentOS 7.x / Scientific Linux 7.x 中：

設(shè)置密碼中至少有一個(gè)小寫(xiě)字母，執(zhí)行：

# authconfig --enablereqlower --update

查看該設(shè)置，執(zhí)行：

# grep "^lcredit" /etc/security/pwquality.conf

輸出樣例：

lcredit = -1

類似地，使用以下命令去設(shè)置密碼中至少有一個(gè)大寫(xiě)字母：

# authconfig --enablerequpper --update

查看該設(shè)置：

# grep "^ucredit" /etc/security/pwquality.conf

輸出樣例：

ucredit = -1

設(shè)置密碼中至少有一個(gè)數(shù)字，執(zhí)行：

# authconfig --enablereqdigit --update

查看該設(shè)置，執(zhí)行：

# grep "^dcredit" /etc/security/pwquality.conf

輸出樣例：

dcredit = -1

設(shè)置密碼中至少含有一個(gè)其他字符，執(zhí)行：

# authconfig --enablereqother --update

查看該設(shè)置，執(zhí)行：

# grep "^ocredit" /etc/security/pwquality.conf

輸出樣例：

ocredit = -1

在 RHEL 6.x / CentOS 6.x / Scientific Linux 6.x systems 中，以 root 身份編輯 /etc/pam.d/system-auth 文件：

# nano /etc/pam.d/system-auth

找到下面這行并且在該行末尾添加：

password requisite pam_cracklib.so try_first_pass retry=3 type= minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

如上設(shè)置中，密碼必須要至少包含 8 個(gè)字符。另外，密碼必須至少包含一個(gè)大寫(xiě)字母、一個(gè)小寫(xiě)字母、一個(gè)數(shù)字和一個(gè)其他字符。

在基于 DEB 的系統(tǒng)中設(shè)置密碼有效期

現(xiàn)在，我們將要設(shè)置下面的策略。

1. 密碼被使用的最長(zhǎng)天數(shù)。
2. 密碼更改允許的最小間隔天數(shù)。
3. 密碼到期之前發(fā)出警告的天數(shù)。

設(shè)置這些策略，編輯：

$ sudo nano /etc/login.defs

在你的每個(gè)需求后設(shè)置值。

PASS_MAX_DAYS 100
PASS_MIN_DAYS 0
PASS_WARN_AGE 7

正如你在上面樣例中看到的一樣，用戶應(yīng)該每 100 天修改一次密碼，并且密碼到期之前的 7 天開(kāi)始出現(xiàn)警告信息。

請(qǐng)注意，這些設(shè)置將會(huì)在新創(chuàng)建的用戶中有效。

為已存在的用戶設(shè)置修改密碼的最大間隔天數(shù)，你必須要運(yùn)行下面的命令：

$ sudo chage -M <days> <username>

設(shè)置修改密碼的最小間隔天數(shù)，執(zhí)行：

$ sudo chage -m <days> <username>

設(shè)置密碼到期之前的警告，執(zhí)行：

$ sudo chage -W <days> <username>

顯示已存在用戶的密碼，執(zhí)行：

$ sudo chage -l sk

這里，sk 是我的用戶名。

輸出樣例：

Last password change : Feb 24, 2017
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7

正如你在上面看到的輸出一樣，該密碼是無(wú)限期的。

修改已存在用戶的密碼有效期，

$ sudo chage -E 24/06/2018 -m 5 -M 90 -I 10 -W 10 sk

上面的命令將會(huì)設(shè)置用戶 sk 的密碼期限是 24/06/2018。并且修改密碼的最小間隔時(shí)間為 5 天，最大間隔時(shí)間為 90 天。用戶賬號(hào)將會(huì)在 10 天后被自動(dòng)鎖定，而且在到期之前的 10 天前顯示警告信息。

在基于 RPM 的系統(tǒng)中設(shè)置密碼效期

這點(diǎn)和基于 DEB 的系統(tǒng)是相同的。

在基于 DEB 的系統(tǒng)中禁止使用近期使用過(guò)的密碼

你可以限制用戶去設(shè)置一個(gè)已經(jīng)使用過(guò)的密碼。通俗的講，就是說(shuō)用戶不能再次使用相同的密碼。

為設(shè)置這一點(diǎn)，編輯 /etc/pam.d/common-password 文件：

$ sudo nano /etc/pam.d/common-password

找到下面這行并且在末尾添加文字 remember=5：

password        [success=2 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512 remember=5

上面的策略將會(huì)阻止用戶去使用最近使用過(guò)的 5 個(gè)密碼。

在基于 RPM 的系統(tǒng)中禁止使用近期使用過(guò)的密碼

這點(diǎn)對(duì)于 RHEL 6.x 和 RHEL 7.x 和它們的衍生系統(tǒng) CentOS、Scientific Linux 是相同的。

以 root 身份編輯 /etc/pam.d/system-auth 文件，

# vi /etc/pam.d/system-auth

找到下面這行，并且在末尾添加文字 remember=5。

password     sufficient     pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

現(xiàn)在你了解了 Linux 中的密碼策略，以及如何在基于 DEB 和 RPM 的系統(tǒng)中設(shè)置不同的密碼策略。