合 Linux系统密码复杂度校验规则修改

发布日期 2023年8月14日 · 已更新 2024年7月29日

0 282 2

👉 本文共约1551个字，系统预计阅读时间或需6分钟。

现象
解决：取消密码复杂度校验
配置密码复杂度
密码复杂度：定期更换策略，避免弱口令
密码复杂度：设置密码强度
若Linux操作系统用户密码过期则可能会导致crontab自动任务失败
总结
参考

现象

[root@kylinosv10sp2 /]# passwd 
Changing password for user root.
New password: 
BAD PASSWORD: The password is shorter than 8 characters
passwd: Authentication token manipulation error

[root@lhropeneuler22 /]# echo "gpadmin:lhr" | chpasswd
BAD PASSWORD: The password is shorter than 8 characters
[root@lhropeneuler22 /]#

[root@kylinosv10sp2 /]# passwd

Changing password for user root.

New password:

BAD PASSWORD: The password is shorter than 8 characters

passwd: Authentication token manipulation error

[root@lhropeneuler22 /]# echo "gpadmin:lhr" | chpasswd

BAD PASSWORD: The password is shorter than 8 characters

[root@lhropeneuler22 /]#

解决：取消密码复杂度校验

适用于CentOS、麒麟系统、欧拉系统：

vi  /etc/pam.d/system-auth

-- 注释掉如下行：
#password    requisite     pam_pwquality.so try_first_pass local_users_only

-- 添加：
password  requisite pam_unix.so

-- 或者直接一条命令修改
cp  /etc/pam.d/system-auth   /etc/pam.d/system-auth_bk
sed -i '/^password    requisite/ { s/^/#/; N; s/\n/&password  requisite pam_unix.so\n/ }' /etc/pam.d/system-auth

-- 恢复原状
sed -i '
  /^password  requisite pam_unix.so/s/^/#/
  /^#password    requisite     pam_pwquality.so/s/^#//
' /etc/pam.d/system-auth
-- 建议： cp  /etc/pam.d/system-auth_bk  /etc/pam.d/system-auth

vi /etc/pam.d/system-auth

-- 注释掉如下行：

#password requisite pam_pwquality.so try_first_pass local_users_only

-- 添加：

password requisite pam_unix.so

-- 或者直接一条命令修改

cp /etc/pam.d/system-auth /etc/pam.d/system-auth_bk

sed -i '/^password requisite/ { s/^/#/; N; s/\n/&password requisite pam_unix.so\n/ }' /etc/pam.d/system-auth

-- 恢复原状

sed -i '

/^password requisite pam_unix.so/s/^/#/

/^#password requisite pam_pwquality.so/s/^#//

' /etc/pam.d/system-auth

-- 建议： cp /etc/pam.d/system-auth_bk /etc/pam.d/system-auth

文件在：/usr/lib64/security/pam_unix.so

其中，pam_unix.so可以修改为pam_cracklib.so，但需要保证so文件存在。

三个auth都会用来进行登陆检查，即使第一个模块失败，用来防止用户知道在哪个过程失败，主要目的是防止攻击。
auth 组件：认证接口，要求并验证密码
account组件：检测是否允许访问。检测账户是否过期或则在末端时间内能否登陆。
password组件：设置并验证密码
session组件：配置和管理用户sesison。

required:该模块必须success才能进行继续。即使失败用户也不会立刻获知，直到所有相关模块完成。
requisite：该模块必须success才能使认证继续进行。
suffifient:如果失败则忽略。
optinal:忽略结果，不管是否失败。

配置密码复杂度

密码复杂度：定期更换策略，避免弱口令

修改 /etc/login.defs文件，加入如下内容即可:

[root@www.shizhanxia.com ~]#  vi /etc/login.defs
# 密码最大有效期 
PASS_MAX_DAYS 180
# 两次修改密码的最小间隔时间
PASS_MIN_DAYS 1
# 密码最小长度
PASS_MIN_LEN 8
# 密码过期前7天开始提示
PASS_WARN_AGE 7

[root@www.shizhanxia.com ~]# vi /etc/login.defs

# 密码最大有效期

PASS_MAX_DAYS 180

# 两次修改密码的最小间隔时间

PASS_MIN_DAYS 1

# 密码最小长度

PASS_MIN_LEN 8

# 密码过期前7天开始提示

PASS_WARN_AGE 7

密码复杂度：设置密码强度

密码强度主要涉及到密码长短、密码是否包含数字、密码是否包含大写字母、密码是否包含小写字母、密码是否包含其他字符、新密码所需的最小字符种类、密码最大相同字符连续数量、新密码中同一类别允许的最大连续字符数、新密码和旧密码相同字符数数量等。

在Red Hat Enterprise Linux 7和相同版本的CentOS操作系统下，我们需要编辑/etc/pam.d/system-auth文件，将如下内容在相应位置添加即可。

password    requisite     pam_pwquality.so  try_first_pass local_users_only retry=3 difok=3 minlen=8  lcredit=-1 dcredit=-1 maxrepeat=3  reject_username enforce_for_root
password    requisite     pam_pwhistory.so remember=5 use_authtok

1 2	password requisite pam_pwquality.so try_first_pass local_users_only retry=3 difok=3 minlen=8 lcredit=-1 dcredit=-1 maxrepeat=3 reject_username enforce_for_root password requisite pam_pwhistory.so remember=5 use_authtok

retry = 3 （在返回错误之前，最多提示用户N次。默认值为1）

difok = 5（新密码和旧密码相同字符数数量）

minlen=8（新密码的最小可接受大小)

lcredit=1（新密码中包含小写字符的最大数量，如果小于0，则为新文件中的最小小写字符数）

dcredit=-1（密码中包含所需数字的最小数量，如果小于0，则为新文件中的最小小写字符数）

maxrepeat=3（新密码中允许的最大连续相同字符数。如果该值为0，则禁用该检查）

本人提供Oracle(OCP、OCM)、MySQL(OCP)、PostgreSQL(PGCA、PGCE、PGCM)等数据库的培训和考证业务，私聊QQ646634621或微信dbaup66，谢谢！

后续精彩内容已被站长无情隐藏，请输入验证码解锁本文！

获取验证码：请先关注本站微信公众号，然后回复“验证码”，获取验证码。在微信里搜索“AiDBA”或者“dbaup6”或者微信扫描右侧二维码都可以关注本站微信公众号。

打赏赞(2)

标签： Linux OS 欧拉麒麟系统密码复杂度校验规则

小麦苗

学习或考证，均可联系麦老师，请加微信db_bao或QQ646634621

发表回复取消回复

要发表评论，您必须先登录。

1、声明：本网站有部分文章整合或转载自网络，文章著作权归属原作者或原团队；若有侵权，深表歉意，请联系本站站长进行处理，谢谢！！！
2、本站提供数据库的培训和考证业务，培训包含但不限于Oracle、MySQL、PostgreSQL、SQL Server、国产数据库等，考证包括但不限于Oracle OCP、Oracle OCM、MySQL OCP、PGCA、PGCE、PGCM等，私聊QQ646634621或微信dbaup66，非诚勿扰，谢谢！！！
3、麦老师新建了《西安DBA数据架构师》微信群，有志同道合的朋友可以私聊我入群，我们一起聊技术，聊生活，空了可以喝酒约饭。
4、为了方便大家更有针对性的讨论学习数据库，故新建数据库分类群，包括Oracle群、MySQL群、SQL Server群、PG&GP群、国产&信创群。志同道合的朋友可以入群聊技术聊人生，捣乱的勿进，喷子勿进，极端人士勿进，谢谢。

合 Linux系统密码复杂度校验规则修改

现象

解决：取消密码复杂度校验

配置密码复杂度

密码复杂度：定期更换策略，避免弱口令

密码复杂度：设置密码强度

相关文章

您可能还喜欢...

发表回复取消回复

网站公告

网站寄语

本站其它工具

搜索本网站

标签云☁

网站日历

网站归档

网站分类

2024 年 9 月
一	二	三	四	五	六	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

合 Linux系统密码复杂度校验规则修改

现象

解决：取消密码复杂度校验

配置密码复杂度

密码复杂度：定期更换策略，避免弱口令

密码复杂度：设置密码强度

相关文章

您可能还喜欢...

ssh连接远程欧拉系统时报错Unable to negotiate with 100.194.18.75 port 22: no matching host key type found. Their offer: ssh-rsa

无法完成域加入，原因是试图加入的域的SID与本计算机的SID相同

Linux中默认显示的文件类型颜色以及如何配置

发表回复 取消回复

网站公告

网站寄语

本站其它工具

搜索本网站

标签云☁

网站日历

网站归档

网站分类

发表回复取消回复