Linux 用户密码安全策略

一、/etc/login.defs文件：

 

 PASS_MAX_DAYS 90 #密码最大有效期，此处参数PASS_MAX_DAYS为90，表示90天后，密码会过期。99999表示永不过期。

PASS_MIN_DAYS 10 #两次修改密码的最小间隔时间，0表示可以随时修改账号密码

PASS_MIN_LEN 8 #密码最小长度，对于root无效

PASS_WARN_AGE 7 #密码过期前多少天开始提示

注：修改了 /etc/login.defs下参数时，会立即生效，但是它只对修改后创建的用户生效。

 

二、如上所示/etc/login.defs只是控制了账号的最小长度以及控制密码的有效期等，那么Linux是如何实现对用户的密码的复杂度的检查的呢？其实系统对密码的控制是有两部分组成：

1、cracklib

2、/etc/login.defs

pam_cracklib.so 才是控制密码复杂度的关键文件/lib/security/pam_cracklib.so， Redhat公司专门开发了cracklib这个安装包来判断密码的复杂度。

 

1）实例：

 

 pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8

retry=3：改变输入密码的次数，默认值是1。就是说，如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数，以免一切都从头再来。

dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8：最小长度为8和至少1位数字，1位大写字母，和另外1个字符的密码。

 

2）注意这个设置对于root没有作用，

只针对普通用户修改自己密码时起作用

 

3）如果新建用户的密码不符合密码复杂度，就会出现BAD PASSWORD: it is based on a dictionary word提示。

passwd ttt

Changing password for user ttt.

New UNIX password:

BAD PASSWORD: it is based on a dictionary word

 

 

一些常见的参数：

retry=N

改变输入密码的次数，默认值是1。就是说，如果用户输入的密码强度不够就退出。可以使用这个选项设置输入的次数，以免一切都从头再来

minlen=N

新密码最低可接受的长度

difok=N

默认值为10。这个参数设置允许的新、旧密码相同字符的个数。不过，如果新密码中1/2的字符和旧密码不同，则新密码被接受

dcredit=N

限制新密码中至少有多少个数字

ucredit=N

限制新密码中至少有多少个大写字符。

lcredit=N

限制新密码中至少有多少个小写字符。