概述
本文主要内容设定系统密码的一般性原则,并按次原则在centos7上实践和测试。
密码安全
- 所有密码都会以单向哈希的形式保存在可读的 /etc/passwd 文件中
- 影子密码可通过在/etc/shadow 文件中保存密码哈希值,该文件只能由 root 用户读取
该设置什么样的密码
- 牢记长密比短而复杂的密码强
- 可以使用系统自带的
pwmake命令来生成密码
# pwmake 56 //数字代表熵值,该值建议不少于56,
eNted4pYHIm!
# pwmake 128
=OKPumT4jOhjolApYzYxbuBOlof
pwmake可以指定最小熵值为56 位,这对于不常出现暴力破解的系统和服务密码,这个熵值已足够。对于攻击者无法直接访问哈希密码文件的运用程序, 64 位就足以适用于此类运用程序。当攻击者可能获取直接访问哈希密码的权限,或密码被用作加密钥匙时,对于此类情况应使用 80 到 128 位。如果您无法明确指定一个具体的熵值,pwmake 将会使用默认值。创建一个 128 位的密码。熵值产生于 /dev/urandom
禁止使用以下类型密码
- 使用字典里的单词,外语单词,逆序单词,或仅使用数字。
- 使用少于 10 字符的密码或密码短语。
- 使用键盘布局的系列键。
- 写下您的密码。
- 在密码中使用个人信息,如出生日期、周年纪念日、家庭成员姓名、或宠物名字。
- 在不同的机器上使用相同的密码短语或密码。
密码管理原则
- 设置一个强密码给个人用户使用
- 用户创建自己的密码,但要验证密码是否安全,并且强制用户定期更改密码
一个完整的实践范例
实践的目标
- 保证用户密码符合强密码要求(通过pam_pwquality实现)
当用户被要求创建或更改密码时,可以使用
passwd命令行实用程序,这就是PAM-检测软件 ( 可插入验证模块(Pluggable Authentication Modules)) ,可检查密码是否过短或是否容易被破解。这个检查过程是由pam_pwquality.soPAM 模块执行的。pam_pwquality模块是根据一系列规则,用于检查密码的强度。其程序有两个步骤:首先,它检查所提供的密码是否能在字典中找到。如果不能,它将继续进行另外一些额外检查。pam_pwquality与 其他 PAM 模块一起堆叠在/etc/pam.d/passwd文件下的密码部分。而自定义规则将在/etc/security/pwquality.conf配置文件中具体说明。
- 锁定登录尝试失败超过三次的用户账户
- 限定密码有效期为90天
操作步骤
1. 保证用户密码符合强密码要求
这个需要修改两个文件
- /etc/pam.d/passwd
- /etc/security/pwquality.conf
先在/etc/pam.d/passwd添加以下的内容,这样才能够使用pam_quality
password required pam_pwquality.so retry=3
然后在/etc/security/pwquality.conf中添加以下的内容
difok = 5 //新密码与旧密码至少有5个字符不相同
minlen = 10 //强制密码不少于10位
minclass = 4 //密码要包含4种类型的字符(大写、特殊字符、数字、字母)
maxsequence = 3 //检测是否有3个连续顺序的字符,如:1234,abcd
maxrepeat = 3 //检测是否有连续重复的3个字符1111
- 注意,这个文件本身自带一些默认值
- 且等号前后要有个空格,否则无效
- 由于root 用户是施行密码创建规则的人,尽管有出现警告消息,他也能够为自己或普通用户设置任何不符合规则的密码。
测试,当不满足4种类型的字符的要求时
[hyc@testdev1 ~]$ passwd
Changing password for user hyc.
Changing password for hyc.
(current) UNIX password:
New password:
BAD PASSWORD: The password contains less than 4 character
2. 锁定登录尝试失败超过三次的用户账户
- 需要使用
pam_faillock模块 - 需要修改文件/etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth 区段
- 注意顺序
- 将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中。
先修改/etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth 区段,在两文件里分别添加以下的内容:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
再在两文件的account区段分别添加以下的内容:
account required pam_faillock.so
测试,当连续3次密码错误后,用户将被锁定10分钟,次时,如果root用户执行以下命令,将用以下的提示
# su - hyc
Last login: Mon Dec 30 16:26:00 CST 2019 from 192.168.3.65 on pts/2
Last failed login: Mon Dec 30 17:16:21 CST 2019 from 192.168.3.65 on ssh:notty
There were 3 failed login attempts since the last successful login.
#cat /var/run/faillock/hyc //该文件记录了登录失败的IP
192.168.3.65 192.168.3.65 192.168.3.65
使用faillock查看登录失败的用户
可以查看用户自上次成功登录后,每个用户失败登的情况,
[root@testdev1 ~]# faillock
hyc:
When Type Source Valid
2019-12-30 17:28:27 RHOST 192.168.3.65 V
2019-12-30 17:30:36 RHOST 192.168.3.65 V
2019-12-30 17:31:19 RHOST 192.168.3.65 V
root:
When Type Source Valid
怎样解除用户锁定
faillock --user <username> --reset
[root@testdev1 ~]# faillock --user hyc --reset
You have mail in /var/spool/mail/root
[root@testdev1 ~]# faillock
hyc:
When Type Source Valid
root:
When Type Source Valid
[root@testdev1 ~]#
以上是针对非root用户的,如果希望对root也有效,则须在/etc/pam.d/system-auth 文件和 /etc/pam.d/password-aut文件中的pam_faillock 条目里添加 even_deny_root 选项:
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=600
限定密码有效期
可以使用chage命令来指定期限,格式如下:
chage -M 90 <username>
- -M 选项指定该密码有效的最长天数,要禁用密码过期功能,通常在
-M选项后使用值99999
