1.1检查弱口令将被检查主机的/etc/shadow文件拷贝出来
在笔记本电脑上运行john the ripper工具检测弱口令
检查用户名和密码相同的弱口令
john.exe 'shadow' --single
使用pass.txt字典检查弱口令
john.exe 'shadow'
--wordlist='pass.txt'
使用 “passwd 用户名” 命令为用户设置复杂密码
2.2禁用无用账号
检查方法
使用命令“cat /etc/passwd”查看口令文件,与系统管理员确认不必要的账号
FTP等服务的账号,如果不需要登录系统,shell应该/sbin/nologin
加固方法 使用命令“passwd -l <用户名>”锁定不必要的账号
回退方法 使用命令“passwd -u <用户名>”解锁账号
2.3账号锁定策略
加固方法
设置连续输错10次密码,帐号锁定5分钟,
使用命令“vi /etc/pam.d/ system-auth”修改配置文件,添加
auth required pam_tally.so onerr=fail deny=10 unlock_time=300
回退方法 使用命令“passwd -u <用户名>”解锁账号
2.4密码设置策略
详细参数参考:https://www.cnblogs.com/kevingrace/p/5752632.html
1.1查看cat /etc/login.defs
注释:
PASS_MAX_DAYS表示密码最大有效期,建议设置90天,
PASS_MIN_DAYS表示最短使用天数,不为0;
PASS_MIN_LEN表示密码最小长度,建议设置最小长度为8;
PASS_WARN_AGE表示密码过期前多少天开始告警,建议设置7天告警;
1.2查看 cat /etc/pam.d/system-auth
找到pam cracklib.so表示密码复杂度,建议至少8位,包含一位大写字母,一位小写字母和一位数字。
type=xxx 当添加/修改密码时,系统给出的缺省提示符是什么,用来修改缺省的密码提示文本。默认是不修改的,如上例。
minlen=8 定义用户密码的最小长度为8位
ucredit=-2 定义用户密码中最少有2个大写字母 (数字为负数,表示至少有多少个大写字母;数字为正数,表示至多有多少个大写字母;下面同理)
lcredit=-4 定义用户密码中最少有4个小写字母
dcredit=-1 定义用户密码中最少有1个数字
ocredit=-1 定义用户密码中最少有1个特殊字符(除数字、字母之外)
remember=5 修改用户密码时最近5次用过的旧密码就不能重用了
type= minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
