配置密码策略
密碼策略介紹
密碼策略是操作系統(tǒng)針對(duì)系統(tǒng)安全提供的一種安全機(jī)制,就好像linux操作系統(tǒng)不提供超級(jí)用戶登錄一樣,密碼策略包括:密碼最小長(zhǎng)度、密碼使用期限、歷史密碼、密碼復(fù)雜度等,在企業(yè)里面都是要求對(duì)操作系統(tǒng)進(jìn)行密碼策略進(jìn)行配置的,而且要求密碼復(fù)雜度。企業(yè)中做等級(jí)保護(hù)測(cè)評(píng)2級(jí)以上都是要求有密碼策略的,之前我有過(guò)一次做等保測(cè)評(píng)師的經(jīng)歷,在企業(yè)里面幾乎沒(méi)有任何一個(gè)企業(yè)在使用這個(gè)密碼策略,很郁悶不知道是工程師們不知道還是什么原因,在這里我就為大家簡(jiǎn)單介紹一下如何設(shè)置密碼策略
根據(jù)相關(guān)要求密碼需要滿足以下幾點(diǎn)要求:
- 用戶有責(zé)任和義務(wù)妥善保管其個(gè)人帳號(hào)和密碼,不得在任何場(chǎng)合隨意公開(kāi)自己的帳號(hào)和密碼,不得泄漏他人。由于密碼泄漏造成的不良后果由帳號(hào)擁有人承擔(dān)相關(guān)責(zé)任
- 密碼長(zhǎng)度不得少于6位
- 密碼由數(shù)字、標(biāo)點(diǎn)、大小寫(xiě)字母和特殊符號(hào)組成,并具有必要的組合復(fù)雜度,禁止使用連續(xù)或相同的數(shù)字、字母組合(如123456等)和其他易于破譯的組合作為密碼。
- 密碼不得以任何形式的明文存放在主機(jī)電子文檔中,不得以明文形式在電子郵件、傳真中傳播。
- 系統(tǒng)管理人員在建立帳號(hào)時(shí),對(duì)所分配帳號(hào)的初始密碼設(shè)置為第一次登錄強(qiáng)制修改。對(duì)于不能強(qiáng)制修改密碼的系統(tǒng),系統(tǒng)管理員創(chuàng)建帳號(hào)后立即通知用戶修改密碼,用戶在第一次登錄系統(tǒng)并修改密碼之后反饋系統(tǒng)管理員,并由系統(tǒng)管理員進(jìn)行復(fù)核。
- 用戶應(yīng)定期(至少每季度一次)進(jìn)行密碼的修改,并且同一密碼不能反復(fù)使用。
????。。。。。。。。。。。。。。等,具體要求可以查看等保2.0密碼技術(shù)應(yīng)用分析
?windows設(shè)置密碼策略?
windows密碼策略有以下這些設(shè)置:
- 密碼必須符合復(fù)雜性要求
- 密碼長(zhǎng)度最小值
- ?密碼最短使用期限
- 密碼最長(zhǎng)使用期限
- 強(qiáng)制密碼歷史
- 用可還原的加密存儲(chǔ)密碼
接下來(lái)對(duì)這些配置進(jìn)行修改
打開(kāi)管理工具
打開(kāi)本地安全策略-賬戶策略-密碼策略
然后就可以根據(jù)自己的需求去進(jìn)行調(diào)整,下面是我推薦大家進(jìn)行設(shè)置的,僅供參考
Linux系統(tǒng)設(shè)置密碼策略
對(duì)于linux可能大家都很少知道有密碼策略這回事吧,好多人都認(rèn)為linux安全機(jī)制已經(jīng)很強(qiáng)大了,而且大多數(shù)linux采用可插拔密碼認(rèn)證來(lái)加強(qiáng)密碼的安全策略,下面就來(lái)說(shuō)說(shuō)linux的密碼策略,linux密碼策略要比windows密碼策略要強(qiáng)大許多
linux密碼策略有以下設(shè)置:
- 密碼的最大有效期
- 密碼最長(zhǎng)使用時(shí)間
- 密碼最小長(zhǎng)度
- 密碼失效前提前多少天進(jìn)行提醒
- 密碼大小寫(xiě)以及數(shù)字、特殊字符等限制
- 新舊密碼不能相同
- 新舊密碼長(zhǎng)度不能相同
- 賬號(hào)鎖定時(shí)間
- 賬號(hào)自動(dòng)解鎖時(shí)間
密碼策略配置文件路徑:
- 在centos/redhat等系統(tǒng)中路徑:/etc/pam.d/system-auth
- ubuntu等系統(tǒng)中路徑:/etc/pam.d/common-password
文件內(nèi)容如下:(版本不同,內(nèi)容有一些差別)
# /etc/pam.d/common-password - password-related modules common to all services
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
# used to change user passwords. ?The default is pam_unix.
# Explanation of pam_unix options:
# The "sha512" option enables salted SHA512 passwords. ?Without this option,
# the default is Unix crypt. ?Prior releases used the option "md5".
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs.
# See the pam_unix manpage for other options.
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. ?See
# pam-auth-update(8) for details.
# here are the per-package modules (the "Primary" block)
password ? ? ? ?[success=1 default=ignore] ? ? ?pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password ? ? ? ?requisite ? ? ? ? ? ? ? ? ? ? ? pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password ? ? ? ?required ? ? ? ? ? ? ? ? ? ? ? ?pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
密碼過(guò)期時(shí)間以及有效期等配置文件:/etc/login.defs,文件部分內(nèi)容:
PASS_MAX_DAYS:一個(gè)密碼可使用的最大天數(shù)。
PASS_MIN_DAYS:兩次密碼修改之間最小的間隔天數(shù)。
PASS_MIN_LEN:密碼最小長(zhǎng)度。
PASS_WARN_AGE:密碼過(guò)期前給出警告的天數(shù)
下面為大家舉例說(shuō)明linux用戶密碼策略:
- 設(shè)置密碼最大使用時(shí)間(PASS_MAX_DAYS)
這個(gè)用來(lái)限制密碼最大可以使用的天數(shù)。時(shí)間到了會(huì)強(qiáng)制進(jìn)行密碼鎖定。如果忘記修改,那么就無(wú)法登錄系統(tǒng)。需要使用管理員賬戶進(jìn)行解鎖后才能繼續(xù)使用。這個(gè)可以在?/etc/login.defs?文件中的PASS_MAX_DAYS參數(shù)設(shè)置。在企業(yè)中一般把這個(gè)值設(shè)置為30天,也就是一個(gè)月修改一次密碼。
root@test:/etc#? vim login.defs
PASS_MAX_DAYS? 30? ? ? ? ?//單位為天數(shù)
- 設(shè)置密碼最小天數(shù)(PASS_MIN_DAYS)
這個(gè)是限制多長(zhǎng)時(shí)間無(wú)法進(jìn)行密碼修改。當(dāng)值為15時(shí),表示15天內(nèi)無(wú)法修改密碼,也就是兩次密碼修改中間最少隔15天,這個(gè)可以在?/etc/login.defs?文件中PASS_MIN_DAYS參數(shù)設(shè)置。企業(yè)中一般不對(duì)此項(xiàng)進(jìn)行控制,這個(gè)根據(jù)自己需求進(jìn)行修改,我這里設(shè)置10天。
root@test:/etc#? vim login.defs
PASS_MIN_DAYS? ? 10? ? ? ? ? ? //單位為天數(shù)
- 設(shè)置密碼過(guò)期前警告(PASS_WARN_AGE)
這個(gè)用來(lái)提醒用戶該進(jìn)行密碼修改了,也就是在密碼即將過(guò)期的時(shí)候,會(huì)給用戶一個(gè)警告提示,在未到最大密碼使用時(shí)間,會(huì)每天進(jìn)行提醒,這可以提醒用戶在密碼過(guò)期前修改他們的密碼,否則我們就需要聯(lián)系管理員來(lái)解鎖密碼。這個(gè)可以在?/etc/login.defs?文件中PASS_WARN_AGE參數(shù)設(shè)置。?這個(gè)企業(yè)中一般設(shè)置為3天,我這里就設(shè)置為3天
root@test:/etc#? vim login.defs
PASS_WARN_AGE? ? ?3? ? ? ? ? ?//單位為天數(shù)
- 避免重復(fù)使用舊密碼
這個(gè)用來(lái)防止更改密碼時(shí)設(shè)置為舊密碼,尋找同時(shí)包含“password”和"pam_unix.so"的行,然后再這行后面加上“remember=天數(shù)”。這將防止N個(gè)最近使用過(guò)的密碼被用來(lái)設(shè)置為新密碼,這個(gè)配置文件是在 /ect/pam.d/common-password 文件中(主要,centos/redhat需要修改:/etc/pam.d/system-auth文件),這個(gè)在企業(yè)中一般設(shè)置為5,我這里就設(shè)置5
ubuntu:
root@test/etc# vim?pam.d/common-password
password ? ? ? ?[success=1 default=ignore] ? ? ?pam_unix.so obscure sha512? ?remember=5
centos/redhat:
root@test/etc# vim? pam.d/common-password
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
- 設(shè)置密碼復(fù)雜度
這個(gè)用來(lái)控制密碼的復(fù)雜程度的,應(yīng)安全性要求,企業(yè)里面要求大小寫(xiě)、特殊字符、數(shù)字等最受三個(gè)進(jìn)行組合并且長(zhǎng)度最少為8。尋找同時(shí)包含“password”和“pam_cracklib.so”的一行,并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。這將迫使你在密碼中至少包括一個(gè)大寫(xiě)字母、兩個(gè)小寫(xiě)字母、一個(gè)數(shù)字和一個(gè)符號(hào)。
ubuntu:
root@test/etc# vim?pam.d/common-password
password ? ? ? ?requisite? ?? pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
centos/redhat:
root@test/etc# vim?pam.d/system-auth
password ? ? ? ?requisite? ?? pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
總結(jié)
- 上一篇: 《天勤数据结构》笔记——假溢出和循环队列
- 下一篇: docker自动部署脚本