密码策略
修改密码过期策略
修改/etc/login.defs文件,控制密码的有效期
# 密码最长过期天数
PASS_MAX_DAYS 90
# 密码最小过期天数
PASS_MIN_DAYS 0
# 密码最小长度
PASS_MIN_LEN 16
# 密码过期警告天数
PASS_WARN_AGE 7
查看密码策略
chage -l 用户名
$ chage -l | root
# 最近修改密码时间
Last password change : Jan 24, 2018
# 密码过期时间
Password expires : never
# 密码失效时间
Password inactive : never
#
Account expires : never
# 两次改变密码之间间距的最小天数
Minimum number of days between password change : 0
# 两次改变密码之间间距的最大天数
Maximum number of days between password change : 99999
# 在密码过期之前警告的天数
Number of days of warning before password expires : 7
修改密码复杂度策略
控制密码复杂度,需已安装pam_cracklib,centos已默认安装
修改/etc/etc/pam.d/system-auth文件,添加如下语句,需放置在最前面,否则可能不生效
password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict
参数说明
| 参数 | 描述 |
|---|---|
| retry | 重试次数 |
| difok | 密码中需要多少个不同字符 |
| minlen | 密码最小长度 |
| ucredit | 密码中需要多少个大写字符 |
| lcredit | 密码中需要多少个小写字符 |
| dcredit | 密码中需要多少个数字类型 |
| dictpath | 密码字典路径 |
登录失败策略
IP白名单策略
1 修改/etc/hosts.allow文件,增加允许通过SSH连接的客户端IP
# 单个IP
sshd:119.137.2.243
# IP地址段
sshd:119.137.2.
2 修改/etc/hosts.deny文件,增加禁止通过SSH连接的客户端IP
# 禁止所有IP
sshd:ALL
# 禁止telnet
in.telnetd:ALL
3 重启sshd服务和xinetd(可选)服务,使之生效
service sshd restart
service xinetd restart
如果hosts.allow和hosts.deny文件均包含同一ip,则以hosts.all文件为准,如果只是单独配置了hosts.all文件,并没有在hosts.deny文件禁止,依然不生效
