修改Linux密码复杂度需配置PAM模块,在/etc/pam.d/common-password中设置pam_pwquality.so参数,如minlen、lcredit、ucredit、dcredit、ocredit和dictcheck,以定义密码长度、字符类型及字典检查;通过chage命令设置密码有效期,如chage -M 30强制30天内改密,实现安全与易用的平衡。
配置Linux用户的密码复杂度要求,实际上就是在告诉系统,什么样的密码才算“好密码”,才能让用户安全地登录。核心在于修改PAM (Pluggable Authentication Modules) 的配置,PAM就像个认证的中介,可以灵活地调整认证策略。
修改PAM配置文件,来控制密码复杂度。
如何查看当前系统的密码策略?
可以使用
pam_cracklib
模块提供的工具,比如
cracklib-check
,但更直接的方式是查看PAM的配置文件。通常,密码策略相关的配置位于
/etc/pam.d/common-password
文件中。使用
cat /etc/pam.d/common-password
命令,可以看到类似如下的行:
password requisite pam_pwquality.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
这行代码就定义了密码的复杂度规则。当然,不同的Linux发行版,使用的模块和配置方式可能略有不同,例如有些系统使用
pam_cracklib.so
而不是
pam_pwquality.so
。
如何修改密码复杂度策略?
修改
/etc/pam.d/common-password
文件。使用文本编辑器(如vi或nano)打开它,找到包含
pam_pwquality.so
或
pam_cracklib.so
的行,然后修改参数。
例如,将上述示例修改为:
password requisite pam_pwquality.so retry=3 minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 dictcheck=1
这里,
minlen=12
表示最小密码长度为12个字符。
lcredit=-1
、
ucredit=-1
、
dcredit=-1
、
ocredit=-1
分别表示至少包含一个小写字母、一个大写字母、一个数字、一个特殊字符。
-1
表示至少包含一个。
dictcheck=1
表示检查密码是否在字典中存在,防止使用弱密码。
保存文件后,新的密码策略就会生效。用户下次修改密码时,就需要满足这些新的规则。
密码复杂度策略的参数详解
-
: 密码的最小长度。
minlen=N
-
: 密码中至少包含的小写字母的数量。正数表示最多包含,负数表示至少包含。
lcredit=N
-
: 密码中至少包含的大写字母的数量。正数表示最多包含,负数表示至少包含。
ucredit=N
-
: 密码中至少包含的数字的数量。正数表示最多包含,负数表示至少包含。
dcredit=N
-
: 密码中至少包含的特殊字符的数量。正数表示最多包含,负数表示至少包含。
ocredit=N
-
: 允许用户尝试输入密码的次数。
retry=N
-
: 新密码中与旧密码不同的字符的最小数量。
difok=N
-
: 启用字典检查,防止使用常见密码。
dictcheck=1
不同的参数组合,可以实现不同的密码复杂度策略。例如,可以设置一个较短的密码长度,但要求包含更多的特殊字符,或者设置一个较长的密码长度,但对字符类型不做过多限制。
如何强制用户定期修改密码?
这需要用到
chage
命令。
chage
命令可以用来修改用户的密码过期信息。例如,要强制用户
testuser
在30天后修改密码,可以执行以下命令:
chage -M 30 testuser
-M 30
表示密码的最大有效天数为30天。还可以使用
-m
参数设置密码的最小有效天数,
-d
参数设置上次修改密码的日期,
-I
参数设置密码过期后多少天禁用账户,
-E
参数设置账户过期日期等等。
结合密码复杂度策略和密码过期策略,可以有效地提高系统的安全性。当然,过于复杂的密码策略可能会降低用户的体验,因此需要在安全性和易用性之间找到一个平衡点。