企业级服务器密码策略管理

一、密码策略

   密码策略配置文件：/etc/security/pwquality.conf
   difok = 3与当前密码相比，新密码中至少需要3个不同的字符
   minlen = 8我们要求密码长度至少为8个字符
   ucredit = -1我们需要至少1个大写字母
   lcredit = -1我们需要至少1 个小写字母
   dcredit = -1我们需要至少1个数字
   ocredit = -1我们需要至少1个非字母数字字符
   minclass = 2个状态，我们至少需要2个类或字符：）大写，小写，数字和其他）
   maxrepeat = 3我们拒绝出现4个或更多重复相同字符的密码
   maxclassrepeat = 2我们拒绝具有相同类别的3个或更多连续字符的密码

二、如果想要root账号同样适用于以上策略的话

需要修改配置文件：/etc/pam.d/system-auth 找到包含pam_pwquality.so模块的行，将原有行注释并修改为如下的新配置，密码长度最少12位， 至少包含一个大写字母，一个小写字母，一个数字，一个特殊符号。

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

minlen=8 密码最小长度为8个字符。
lcredit=-1 密码应包含的小写字母的至少一个
ucredit=-1 密码应包含的大写字母至少一个
dcredit=-1 将密码包含的数字至少为一个
ocredit=-1 设置其他符号的最小数量，例如@，＃、! $％等，至少要有一个
enforce_for_root 确保即使是root用户设置密码，也应强制执行复杂性策略。

三、设置密码过期时间

​ 修改配置文件：/etc/login.defs

PASS_MAX_DAYS     90               密码最长有效期
PASS_MIN_DAYS     10               密码修改之间最小的天数
PASS_MIN_LEN      8                密码长度
PASS_WARN_AGE     7                口令失效前多少天开始通知用户修改密码

四、限制用户失败登陆次数

有一些攻击性的软件是专门采用暴力破解密码的形式反复进行登录尝试，对于这种情况，我们可以调整用户登录次数限制，使其密码输入3次后自动锁定，并且设置锁定时间，在锁定时间内即使密码输入正确也无法登录。

修改配置文件：/etc/pam.d/sshd
在 #%PAM-1.0 的下面，加入下面的内容，表示当密码输入错误达到3次，就锁定用户150秒，如果root用户输入密码错误达到3次，锁定300秒。锁定的意思是即使密码正确了也登录不了。

auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300

解锁用户

pam_tally2   查看被锁定的用户
pam_tally2  --reset  -u  username      将被锁定的用户解锁

五、禁止root用户远程登陆

​ 修改配置文件： /etc/ssh/sshd_config

sed -i '/PermitRootLogin/c\PermitRootLogin no'  /etc/ssh/sshd_config

六、历史命令保存条数

​ 修改配置文件：/etc/profile

export HISTSIZE=100

source /etc/profile 进行生效

七、设置用户闲置时间

设置一个闲置超时时间， 当超过指定的时间没有任何输入时即自动注销终端。这样可以有效避免当管理员不在时其他人员对服务器的误操作风险,闲置超时由变量TMOUT控制,默认单位为秒(s)

修改配置文件：/etc/profile

export TMOUT=1000

八、指定用户组切换root

在实际生产环境中，即使我们有系统管理员root的权限，也不推荐用root用户登录。一般情况下用普通用户登录就可以了，在需要root权限执行一些操作时，再su登录成为root用户。但是，任何人只要知道了root的密码，就都可以通过su命令来登录为root用户，这无疑为系统带来了安全隐患。所以，将普通用户加入到wheel组，被加入的这个普通用户就成了管理员组内的用户。然后设置只有wheel组内的成员可以使用su命令切换到root用户。

比如，我们将普通用户xie加入wheel组。 usermod -G wheel liangzeyu

修改配置文件： /etc/pam.d/su

将这个行注释去掉
auth           required        pam_wheel.so use_uid
并在末尾加入
SU_WHEEL_ONLY yes