亚洲av,免费,中文字幕理伦午夜福利片,亚洲国产一区二区精品在线

摘要：Linux服務(wù)器以其安全、高效和穩(wěn)定的顯著優(yōu)勢而得以廣泛應(yīng)用，不過，如果不做好用戶賬號密碼的安全管理，系統(tǒng)的安全性得不到更好的保障。因此，為提高系統(tǒng)的穩(wěn)定性，加強賬號密碼安全管理必不可少。比如賬號密碼的安全策略配置，因為賬號密碼的安全又是Linux安全中的第一道安全鎖，需要給予足夠的重視。

本文將使用CentOS7操作系統(tǒng)，詳細介紹賬號密碼管理的風(fēng)險點及其防范措施。詳細內(nèi)容請參考下文。

一、訪問Linux

1、登錄Linux

2、查看linux版本

二、賬號密碼管理

1、查看當(dāng)前用戶的帳號密碼策略

執(zhí)行指令# chage -l root

備注：上述的帳號密碼策略存在風(fēng)險，一旦root帳號被破解，風(fēng)險極大，需要加強帳號密碼的安全管理。

2、設(shè)置帳號密碼策略

說明：加強帳號密碼的安全管理，需要從設(shè)置SSH登錄的安全管理；設(shè)置賬戶的鎖定策略，設(shè)置密碼的復(fù)雜度，密碼失效時間，修改密碼的最小間隔時間，密碼到期的警告天數(shù)，檢查密碼的重用是否受限制等七個方面加強管理。

（1）、設(shè)置SSH空閑超時退出時間

執(zhí)行指令# vim /etc/ssh/sshd_config

備注：編輯/etc/ssh/sshd_config，將ClientAliveInterval（閑置時間）設(shè)置為300到900，即5-15分鐘，將ClientAliveCountMax（活躍用戶數(shù)）設(shè)置為0-3之間。本文中將閑置時間設(shè)置為600，即為10分鐘，活躍用戶限定為2位。

（2）、設(shè)置賬戶的鎖定策略

說明：帳號鎖定策略可以根據(jù)需要設(shè)置，包括帳號鎖定的閾值，鎖定的時間以及用戶范圍三個方面。本文中將帳號鎖定的閾值設(shè)置為5次，即如果輸錯5次密碼，將會鎖定帳號；這期間帳號鎖定的時間設(shè)置為10分鐘，即10分鐘內(nèi)帳號不允許嘗試登錄，只能等過了10分鐘才能輸入密碼登錄；上述策略將對所有帳號（包括root）進行策略設(shè)置。

設(shè)置root帳號鎖定策略

執(zhí)行指令# chage –maxdays 180 root 設(shè)置root密碼的失效時間

執(zhí)行指令# chage –mindays 7 root 設(shè)置root密碼修改的最小間隔時間

設(shè)置非root帳號的鎖定策略

執(zhí)行指令# vim /etc/pam.d/system-auth-ac

執(zhí)行指令# vim /etc/pam.d/ password-auth-ac

備注：/etc/pam.d/ password-auth-ac文件和/etc/pam.d/system-auth文件的規(guī)則設(shè)置對非root用戶起作用，在root用戶下則不會生效！如果設(shè)置root用戶密碼過期時間等，需要用chage命令進行設(shè)置。

（3）、設(shè)置密碼的復(fù)雜度

說明：簡單的密碼安全性很差，一般建議密碼為強密碼，即密碼長度大于8，包括大小寫字母、數(shù)字、特殊字等。

執(zhí)行指令# vim
/etc/pam.d/common-password創(chuàng)建并輸入以下內(nèi)容

password requisite pam_cracklib.so retry=3?minlen=8?ucredit=-1?lcredit=-1?dcredit=-1?ocredit=-1

password [success=1?default=ignore] pam_unix.so sha512

password requisite pam_deny.so

password required pam_permit.so

備注：以上只對之后新增的用戶有效，如果要修改已存在的用戶密碼規(guī)則，需要使用chage命令。

（4）、設(shè)置密碼失效時間

說明：設(shè)置密碼失效時間，強制定期修改密碼，減少密碼被泄漏和猜測風(fēng)險，使用非密碼登陸方式(如密鑰對)請忽略此項。

執(zhí)行指令# vim /etc/login.defs設(shè)置密碼失效時間參數(shù)，將其中的參數(shù)PASS_MAX_DAYS設(shè)置為60-360之間。

備注：參數(shù)PASS_MAX_DAYS表示兩次改變密碼之間相距的最大天數(shù)，密碼有效最大天數(shù)。還有，以上只對之后新增的用戶有效，如果要修改已存在的用戶密碼規(guī)則，需要使用chage命令。

（5）、修改密碼的最小間隔時間

說明：設(shè)置密碼修改最小間隔時間，限制密碼更改過于頻繁。

執(zhí)行指令# vim /etc/login.defs修改參數(shù)PASS_MIN_DAYS值

備注：參數(shù)PASS_MIN_DAYS的值表示兩次改變密碼之間相距的最小天數(shù)，為零時代表任何時候都可以更改密碼。本文將該參數(shù)的值設(shè)置為7，則表示禁止7天內(nèi)再次修改密碼。還有，以上只對之后新增的用戶有效，如果要修改已存在的用戶密碼規(guī)則，需要使用chage命令。

（6）、設(shè)置密碼到期前的警告天數(shù)

說明：設(shè)備密碼到期的警告天數(shù)，方便為修改密碼做好準(zhǔn)備，備份舊密碼并準(zhǔn)備新密碼。

備注：參數(shù)PASS_WARN_AGE的值表示密碼到期前出現(xiàn)警告的天數(shù)，該值為7，表示在密碼到期的7天出現(xiàn)警告，提醒用戶修改密碼。同樣，以上只對之后新增的用戶有效，如果要修改已存在的用戶密碼規(guī)則，需要使用chage命令。

（7）、檢查密碼重用時是否受限制

說明：強制用戶不重用最近使用的密碼，降低密碼猜測攻擊風(fēng)險。在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數(shù)為5-24之間，原來的內(nèi)容不用更改，只在末尾加了remember=5。

執(zhí)行指令# vim /etc/pam.d/system-auth