修改Linux密码复杂度需配置PAM模块,在/etc/pam.d/common-password中设置pam_pwquality.so参数,如minlen、lcredit、ucredit、dcredit、ocredit和dictcheck,以定义密码长度、字符类型及字典检查;通过chage命令设置密码有效期,如chage -M 30强制30天内改密,实现安全与易用的平衡。
配置Linux用户的密码复杂度要求,实际上就是在告诉系统,什么样的密码才算“好密码”,才能让用户安全地登录。核心在于修改PAM (Pluggable Authentication Modules) 的配置,PAM就像个认证的中介,可以灵活地调整认证策略。
修改PAM配置文件,来控制密码复杂度。
如何查看当前系统的密码策略?
可以使用
pam_cracklib模块提供的工具,比如
cracklib-check,但更直接的方式是查看PAM的配置文件。通常,密码策略相关的配置位于
/etc/pam.d/common-password文件中。使用
cat /etc/pam.d/common-password命令,可以看到类似如下的行:
password requisite pam_pwquality.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
这行代码就定义了密码的复杂度规则。当然,不同的Linux发行版,使用的模块和配置方式可能略有不同,例如有些系统使用
pam_cracklib.so而不是
pam_pwquality.so。
如何修改密码复杂度策略?
修改
/etc/pam.d/common-password文件。使用文本编辑器(如vi或nano)打开它,找到包含
pam_pwquality.so或
pam_cracklib.so的行,然后修改参数。
例如,将上述示例修改为:
password requisite pam_pwquality.so retry=3 minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 dictcheck=1
这里,
minlen=12表示最小密码长度为12个字符。
lcredit=-1、
ucredit=-1、
dcredit=-1、
ocredit=-1分别表示至少包含一个小写字母、一个大写字母、一个数字、一个特殊字符。
-1表示至少包含一个。
dictcheck=1表示检查密码是否在字典中存在,防止使用弱密码。
Shopxp购物系统Html版
下载
一个经过完善设计的经典网上购物系统,适用于各种服务器环境的高效网上购物系统解决方案,shopxp购物系统Html版是我们首次推出的免费购物系统源码,完整可用。我们的系统是免费的不需要购买,该系统经过全面测试完整可用,如果碰到问题,先检查一下本地的配置或到官方网站提交问题求助。 网站管理地址:http://你的网址/admin/login.asp 用户名:admin 密 码:admin 提示:如果您
保存文件后,新的密码策略就会生效。用户下次修改密码时,就需要满足这些新的规则。
密码复杂度策略的参数详解
-
minlen=N
: 密码的最小长度。 -
lcredit=N
: 密码中至少包含的小写字母的数量。正数表示最多包含,负数表示至少包含。 -
ucredit=N
: 密码中至少包含的大写字母的数量。正数表示最多包含,负数表示至少包含。 -
dcredit=N
: 密码中至少包含的数字的数量。正数表示最多包含,负数表示至少包含。 -
ocredit=N
: 密码中至少包含的特殊字符的数量。正数表示最多包含,负数表示至少包含。 -
retry=N
: 允许用户尝试输入密码的次数。 -
difok=N
: 新密码中与旧密码不同的字符的最小数量。 -
dictcheck=1
: 启用字典检查,防止使用常见密码。
不同的参数组合,可以实现不同的密码复杂度策略。例如,可以设置一个较短的密码长度,但要求包含更多的特殊字符,或者设置一个较长的密码长度,但对字符类型不做过多限制。
如何强制用户定期修改密码?
这需要用到
chage命令。
chage命令可以用来修改用户的密码过期信息。例如,要强制用户
testuser在30天后修改密码,可以执行以下命令:
chage -M 30 testuser
-M 30表示密码的最大有效天数为30天。还可以使用
-m参数设置密码的最小有效天数,
-d参数设置上次修改密码的日期,
-I参数设置密码过期后多少天禁用账户,
-E参数设置账户过期日期等等。
结合密码复杂度策略和密码过期策略,可以有效地提高系统的安全性。当然,过于复杂的密码策略可能会降低用户的体验,因此需要在安全性和易用性之间找到一个平衡点。
