配置Linux密码策略需先安装libpam-pwquality模块,再编辑/etc/security/pwquality.conf设置最小长度12位及字符类型要求,启用reject_username防止用户名作密码,随后在/etc/pam.d/common-password中添加requisite控制并设retry=3,接着修改/etc/login.defs设定PASS_MAX_DAYS为90、PASS_MIN_DAYS为5,并在common-password中添加remember=5以防止重用最近5个密码,最后通过su切换用户执行passwd测试策略,验证弱密码被拒而强密码可通过。
如果您希望提升Linux系统的安全性,防止弱密码带来的潜在风险,可以通过配置用户密码策略来强制用户使用符合安全要求的密码。以下是实现复杂密码策略的具体步骤。
本文运行环境:Dell XPS 13,Ubuntu 24.04
一、安装PAM密码强度检查模块
PAM(Pluggable Authentication Modules)是Linux系统中用于管理认证方式的核心组件,通过其pam_pwquality模块可实现密码复杂度控制。需要先确保该模块已安装。
1、打开终端,执行命令 sudo apt install libpam-pwquality 安装密码质量检测库。
2、确认软件包安装成功,检查 /etc/pam.d/common-password 文件中是否包含对 pam_pwquality.so 的引用。
二、配置pam_pwquality.conf参数
/etc/security/pwquality.conf 文件用于定义密码强度规则,包括长度、字符种类、连续字符限制等。修改此文件可自定义策略要求。
1、使用文本编辑器打开配置文件:sudo nano /etc/security/pwquality.conf。
2、设置最小长度:修改 minlen = 12 以要求密码至少12位。
3、启用字符类别检查:设置 dcredit = -1(至少一位数字),ucredit = -1(大写字母),lcredit = -1(小写字母),ocredit = -1(特殊符号)。
4、禁止使用用户名或逆序:启用 reject_username = 1 防止用户使用自身用户名作为密码。
三、在PAM认证流程中启用策略
需将密码强度模块集成到系统认证流程中,确保所有涉及密码更改的操作都受控于新规则。
1、编辑PAM密码认证配置文件:sudo nano /etc/pam.d/common-password。
2、找到包含 pam_pwquality.so 的行,若不存在则添加:password requisite pam_pwquality.so retry=3。
3、设置重试次数为3次,允许用户在输入不符合规则的密码后有三次修正机会。
四、设置密码有效期与历史记录
通过限制密码使用周期和防止重复使用旧密码,进一步增强账户安全性。
1、编辑登录定义文件:sudo nano /etc/login.defs。
2、修改 PASS_MAX_DAYS 90 表示密码最长使用90天。
3、设置 PASS_MIN_DAYS 5 防止用户在5天内频繁更改密码。
4、配置密码历史:在 /etc/pam.d/common-password 中添加 remember=5 参数,实现最近5个密码不可重复使用。
五、测试密码策略生效情况
通过实际修改用户密码验证策略是否按预期工作,确保规则正确拦截弱密码并接受合规密码。
1、切换到普通用户环境:su - username。
2、执行 passwd 命令尝试修改密码。
3、输入一个不符合规则的密码(如全小写无数字),观察系统是否拒绝并提示错误原因。
4、再输入一个满足长度和字符类型要求的密码,确认修改成功。
