關於linux系統密碼策略的設置

 　　由於工作需要最近需要將公司的多台linux服務器進行密碼策略的設置，主要內容是增加密碼復雜度。

　　操作步驟如下，不會的同學可以參考：

　　操作前需要掌握如下幾個簡單的知識點：(其實不掌握也行，不過學學沒壞處)

　　PAM(Pluggable Authentication Modules )是由Sun提出的一種認證機制。它通過提供一些動態鏈接庫和一套統一的API，將系統提供的服務 和該服務的認證方式分開，使得系統管理員可以靈活地根據需要給不同的服務配置不同的認證方式而無需更改服務程序，同時也便於向系 統中添加新的認證手段。PAM最初是集成在Solaris中，目前已移植到其它系統中，如Linux、SunOS、HP-UX 9.0等。

　　PAM的配置是通過單個配置文件/etc/pam.conf。RedHat還支持另外一種配置方式，即通過配置目錄/etc/pam.d/，且這種的優先級要高於單 個配置文件的方式。

　　1、使用配置文件/etc/pam.conf

　　該文件是由如下的行所組成的：

　　service-name module-type control-flag module-path arguments

　　service-name 服務的名字，比如telnet、login、ftp等，服務名字“OTHER”代表所有沒有在該文件中明確配置的其它服務。

　　module-type 模塊類型有四種：auth、account、session、password，即對應PAM所支持的四種管理方式。同一個服務可以調用多個 PAM模塊進行認證，這些模塊構成一個stack。

　　control-flag 用來告訴PAM庫該如何處理與該服務相關的PAM模塊的成功或失敗情況。它有四種可能的 值：required，requisite，sufficient，optional。

　　required 表示本模塊必須返回成功才能通過認證，但是如果該模塊返回失敗的話，失敗結果也不會立即通知用戶，而是要等到同一stack 中的所有模塊全部執行完畢再將失敗結果返回給應用程序。可以認為是一個必要條件。

　　requisite 與required類似，該模塊必須返回成功才能通過認證，但是一旦該模塊返回失敗，將不再執行同一stack內的任何模塊，而是直 接將控制權返回給應用程序。是一個必要條件。注：這種只有RedHat支持，Solaris不支持。

　　sufficient 表明本模塊返回成功已經足以通過身份認證的要求，不必再執行同一stack內的其它模塊，但是如果本模塊返回失敗的話可以 忽略。可以認為是一個充分條件。

　　optional表明本模塊是可選的，它的成功與否一般不會對身份認證起關鍵作用，其返回值一般被忽略。

　　對於control-flag，從Linux-PAM-0.63版本起，支持一種新的語法，具體可參看LinuxPAM文檔。

　　module-path 用來指明本模塊對應的程序文件的路徑名，一般采用絕對路徑，如果沒有給出絕對路徑，默認該文件在目錄/usr/lib/security下面。

　　arguments 是用來傳遞給該模塊的參數。一般來說每個模塊的參數都不相同，可以由該模塊的開發者自己定義，但是也有以下幾個共同 的參數：

　　debug 該模塊應當用syslog( )將調試信息寫入到系統日志文件中。

　　no_warn 表明該模塊不應把警告信息發送給應用程序。

　　use_first_pass 表明該模塊不能提示用戶輸入密碼，而應使用前一個模塊從用戶那裡得到的密碼。

　　try_first_pass 表明該模塊首先應當使用前一個模塊從用戶那裡得到的密碼，如果該密碼驗證不通過，再提示用戶輸入新的密碼。

　　use_mapped_pass 該模塊不能提示用戶輸入密碼，而是使用映射過的密碼。

　　expose_account 允許該模塊顯示用戶的帳號名等信息，一般只能在安全的環境下使用，因為洩漏用戶名會對安全造成一定程度的威脅。

　　2、使用配置目錄/etc/pam.d/(只適用於RedHat Linux)

　　該目錄下的每個文件的名字對應服務名，例如ftp服務對應文件/etc/pam.d/ftp。如果名為xxxx的服務所對應的配置文件/etc/pam.d/xxxx不存 在，則該服務將使用默認的配置文件/etc/pam.d/other。每個文件由如下格式的文本行所構成：

　　module-type control-flag module-path arguments

　　每個字段的含義和/etc/pam.conf中的相同。

　　由於公司使用的是RedHat的linux故此我將使用pam.d這個配置目錄。密碼復雜度通過/etc/pam.d/system-auth這個文件來實現的故此我們先看一下默認有什麼內容然後將這個文件備份一個：

　　在這個文件中我們會用到pam_cracklib.so這個模塊。pam_cracklib.so是一個常用並且非常重要的PAM模塊。該模塊主要的作用是對用戶密碼的強健性進行檢測。即檢查和限制用戶自定義密碼的長度、復雜度和歷史等。如不滿足上述強度的密碼將拒絕使用。

　　pam_cracklib.so比較重要和難於理解的是它的一些參數和計數方法，其常用參數包括：

　　debug：將調試信息寫入日志;

　　type=xxx：當添加/修改密碼時，系統給出的缺省提示符是“New UNIX passwZhttp://www.2cto.com/kf/ware/vc/" target="_blank" class="keylink">vcmQ6obHS1LywobBSZXR5cGUgVU5JWDxicj4KcGFzc3dvcmQ6obGjrLb4yrnTw7jDss7K/b/

J0tTX1Lao0uXK5Mjrw9zC67XEzOHKvrf7o6yxyMjn1ri2qHR5cGU9eW91ciBvd24gd29yZKO7PGJyPgpyZXRye

T1Oo7q2qNLltcfCvC/Q3rjEw9zC68qnsNzKsaOsv8nS1NbYytS1xLTOyv2juzxicj4KRGlmb2s9TqO6tqjS5d

DCw9zC69bQsdjQ69PQvLi49tfWt/vSqtPrvsnD3MLrsrvNrKGjtavKx8jnufvQwsPcwuvW0NPQMS8y0tTJz7XE

19a3+9PrvsnD3MLrsrvNrMqxo6y4w9DCw9zC672rsbu908rco7s8YnI+Cm1pbmxlbj1Oo7q2qNLl08O7p8

Pcwuu1xNfu0KGzpLbIo7s8YnI+CmRjcmVkaXQ9TqO6tqjS5dPDu6fD3MLr1tCx2NDrsPy6rLbgydm49sr919ajuzxicj4Kd

WNyZWRpdD1Oo7q2qNLl08O7p8PcwuvW0LHY0Ouw/LqstuDJ2bj2tPPQtNfWxLijuzxicj4KbGNyZWRpdD1Oo7q2q

NLl08O7p8PcwuvW0LHY0Ouw/LqstuDJ2bj20KHQqdfWxLijuzxicj4Kb2NyZWRpdD1Oo7q2qNLl08O7p8Pcwuv

W0LHY0Ouw/LqstuDJ2bj2zNjK4tfWt/ujqLP9yv3X1qGi19bEuNauzeKjqaO7PGJyPgo8L3A+CjxwPrj5vt3O0r

XE0OjSqs7SvavD3MLrst/C1NbGtqjI58/Co7qx2NDrsPy6rNbBydnSu7j20KHQtNfWxLihosr919ahoszYyuLX1rf7o6z

D3MLrs6S2yNbBydk3zrujrNTac3lzdGVtLWF1dGjOxLz+1Pa808jnz8LE2sjdo6yxo7TmuvPNy7P2o7o8L3A+CjxwPjxpb

Wcgc3JjPQ=="http://www.2cto.com/uploadfile/Collfiles/20140924/2014092409230757.png" alt="/">

　　(注)*credit=-1表示至少有一個的意思。

　　然後配置login.defs，這個文件主要是配置密碼有效期，其中的PASS_MIN_LEN這個參數在我們配置了上一個文件之後在這裡是不起作用的。其他

　　PASS_MAX_DAYS 99999 #密碼的最大有效期, 99999:永久有期

　　PASS_MIN_DAYS 0 #是否可修改密碼,0可修改,非0多少天後可修改

　　PASS_MIN_LEN 5 #密碼最小長度,使用pam_cracklib module,該參數不再有效

　　PASS_WARN_AGE 7 #密碼失效前多少天在用戶登錄時通知用戶修改密碼

　　當設置完成這些之後我們可以去驗證一下系統中已經存在的用戶在設置密碼的時候是否會強制驗證密碼復雜度，如下圖所示如果不符合密碼復雜度會提示錯誤信息：

　　如果符合了你的密碼復雜度就可以正常設置密碼了。