密码策略不设防?等保 2.0 下,这些 Linux 加固配置你必须知道!
本文将指导您如何在各种Linux操作系统上根据《等级保护2.0》设置和管理密码策略,既增强安全性也符合最新合规需求。
随着网络安全威胁不断增加,确保密码安全对于保护系统免受攻击至关重要。然而,使用简单密码、默认密码或长期不更换密码的情况仍然普遍存在,这给了黑客可乘之机。
为解决这些问题,《等级保护2.0》标准对密码复杂度、有效期及定期更换提出了明确要求。不符合这些规定的系统需改进以达到安全标准。
本文将指导您如何在各种Linux操作系统上根据《等级保护2.0》设置和管理密码策略,既增强安全性也符合最新合规需求。希望这对您有所帮助!
一、等保2.0对密码策略的“硬性标准”
等保不是“建议”,是“必须”!而密码策略,是合规检查中的重点项目。
二、主流Linux系统密码策略配置全攻略
以下操作适用于CentOS、RHEL、Ubuntu、Debian、openSUSE等主流发行版。
第一步:安装依赖模块
pam_pwquality是密码复杂度策略的核心模块,如果未安装,需要先进行安装:
CentOS / RHEL / Rocky Linux:
sudo yum install-y pam pwquality
Ubuntu / Debian:
sudo apt install-y libpam-pwquality
检查是否已安装可使用:
find / -name pam_pwquality.so 2>/dev/null
第二步:设置密码复杂度策略
编辑配置文件:
sudo vi /etc/security/pwquality.conf
推荐配置如下:
minlen=12 # 最小密码长度ucredit=-1 # 至少一个大写字母lcredit=-1 # 至少一个小写字母dcredit=-1 # 至少一个数字ocredit=-1 # 至少一个特殊字符retry=3 # 密码输入错误允许重试次数
所有负数表示必须包,值为-1表示必须包含1个。
第三步:配置PAM模块以启用密码策略
系统通过PAMPluggable Authentication Modules机制对密码策略进行控制。
RHEL/CentOS 路径:
编辑/etc/pam.d/system-auth:
password requisite pam_pwquality.so try_first_pass local_users_only retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
Ubuntu/Debian 路径:
编辑/etc/pam.d/common-password,插入:
password requisite pam_pwquality.so retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
enforce_for_root表示强制root用户也遵守复杂度策略,防止特权账户疏忽。
第四步:设置密码有效期
为确保密码定期更换,编辑/etc/login.defs:
PASS_MAX_DAYS 90# 最长使用时间PASS_MIN_DAYS 7# 最短更换间隔PASS_WARN_AGE 7# 过期前警告天数
为所有已有用户生效:
for user in$(awk -F: '$3 >= 1000 && $3 < 65534 {print $1}' /etc/passwd);do chage --maxdays90--mindays7--warndays7"$user"done
三、加分项:增强防爆破、禁止弱口令
1. 限制登录失败次数 + 账户锁定时间
在/etc/pam.d/system-auth或/etc/pam.d/common-auth中添加:
auth required pam_faillock.so preauth silent deny=5unlock_time=300auth [default=die] pam_faillock.so authfail deny=5unlock_time=300
含义:连续输错密码 5 次,锁定账号 5 分钟。
2. 黑名单禁止弱口令
编辑/etc/security/pwquality.conf,增加:
badwords=/etc/security/weak_words
然后创建自定义弱口令词典:
echo -e"123456\npassword\nadmin\nwelcome\nroot123"> /etc/security/weak_words
这样,用户在设置上述弱密码时将会被直接拒绝。
四、加固脚本
系统加固已不是“做不做”的问题,而是“做得够不够”。尤其是在企业运维中,面对等级保护2.0的合规压力,仅靠手动配置显然效率低下、容易遗漏。为了帮助广大运维人员快速完成核心安全配置,我们特意打造了一款系统等保加固配置工具,一键覆盖SSH加固、密码策略、日志审计、防火墙等关键环节,简单高效,开箱即用。
免责声明
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
最新文章
CDimension横空出世:立志从底层重建芯片技术栈
随着人工智能、机器人、量子计算与边缘计算等新兴应用对算力提出更高要求,传统硅基架构在能效、封装碎片化及带宽瓶颈等方面的物理极限日益显现。CDimension 正以一种根本性不同的技术路径,力图突破这
小米发布REDMI 15C:百元神机来袭,配置亮眼性价比高
小米近日在多个海外市场推出旗下最新入门级智能手机REDMI 15C,起售价为119美元,折合人民币约849元。作为小米旗下价格最为亲民的手机系列,该产品线历代机型均以高性价比著称,被许多用户称为百元
安富利:30载深耕中国市场,长期主义构筑可持续发展护城河
在安富利,我们始终坚信,ESG(环境、社会、公司治理)是驱动企业实现长期可持续发展的核心竞争力。 管理大师德鲁克曾说:“企业是社会的器官,任何企业得以生存,都是因为它满足了社会某一方面的需要,实现了
务必自查:Linux 爆出本地双杀提权漏洞,从 SSH 到 Root 只需一步?
这两个漏洞组合形成了从普通账号到 root 的完整提权链条,运维工程师们不能掉以轻心,引起足够重视,记得做好提前备份。 今天分享两个6月17号Qualys研究团队披露了公布的Linux漏洞。1 漏
国产动作游戏跻身日本销量榜前十,多款新作表现亮眼
跻身日本销量榜前十,多款新作表现亮眼 " >上周日本地区游戏销量排行榜正式公布,其中一款国产动作游戏失落之魂成功进入前十,引发广泛关注。在本期榜单前十名中,共有七款新作首次进入排行榜,若按不同平台合并
热门推荐
热门教程
更多- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
