CentOS设置密码策略

密码有效期控制

在文件/etc/login.defs中进行设置，如下参数

PASS_MAX_DAYS 180 #密码最长过期天数

PASS_MIN_DAYS 30 #密码最小过期天数

PASS_MIN_LEN 12 #密码最小长度

PASS_WARN_AGE 20 #密码过期警告天数

设置最小密码长度：（不少于8个字符）

authconfig --passminlen=8 --update

测试查看是否更新成功：

grep "^minlen" /etc/security/pwquality.conf

设置同一类的允许连续字符的最大数目：

authconfig --passmaxclassrepeat=4 --update

测试查看是否更新成功：

grep "^maxclassrepeat" /etc/security/pwquality.conf

新密码中至少需要一个小写字符：

authconfig --enablereqlower --update

测试查看是否更新成功：

grep "^lcredit" /etc/security/pwquality.conf

新密码中至少需要一个大写字符：

authconfig --enablerequpper --update

测试查看是否更新成功：

grep "^ucredit" /etc/security/pwquality.conf

新密码中至少需要一个数字：

authconfig --enablereqdigit --update

测试查看是否更新成功：

grep "^dcredit" /etc/security/pwquality.conf

新密码包括至少一个特殊字符：

authconfig --enablereqother --update

测试查看是否更新成功：

grep "^ocredit" /etc/security/pwquality.conf

为新密码设置hash/crypt算法（默认为sha512）：

查看当前算法：authconfig --test | grep hashing

直接编辑 /etc/security/pwquality.conf 这个文件 添加上述参数也是可以的

如果想让上述密码策略同样适用于root用户，那么就需要编辑文件

# vim /etc/pam.d/system-auth 文件，找到 password requisite pam_pwquality.so 这一行，添加如下语句

#password requisite pam_pwquality.so try_first_pass local_users_only retry=3 enforce_for_root

assword requisite pam_pwquality.so try_first_pass local_users_only retry=3 enforce_for_root minlen=8 ucredit=-1 lcredit=-1 ocredit=-1

登录失败的用户锁定策略配置

#vi /etc/pam.d/sshd

auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 even_deny_root root_unlock_time=300

设置SSH登录超时时间

1. /etc/ssh/sshd_config文件中的ClientAliveInterval参数。

2. /etc/profile文件中有无TMOUT环境变量设置。 例如：export TMOUT=180

3. 自己账户的.profile文件中，有无TMOUT环境变量。例如：export TMOUT=180