pam密码策略

PAM 的使用历史

PAM 是关注如何为服务验证用户的 API。在使用 PAM 之前,诸如 login(和 rlogintelnetrsh)之类的应用程序在 /etc/passwd 中查找用户名,然后将两者相比较并验证用户输入的名称。所有应用程序使用了这些共享服务,但是并未共享实现细节和配置这些服务的权限。

接下来,应用程序开发人员尝试编写自定义过程代码。在此过程中,需要分离应用程序与安全模块(通用安全模块可以在应用程序之间共享并且可以根据需求进行配置)。

PAM 机制将把多个低级别验证模式集成到高级别 API 中,该 API 将允许以独立于底层验证模式的方式编写使用验证的程序。PAM 的主要特征表现为通过 /etc/pam.d 或 /etc/pam.conf 文件实现动态验证配置。

PAM 可以被配置为拒绝某些程序对用户进行验证,或者在某些程序尝试验证时发出警告。PAM 程序将使用 PAM 模块(验证模块):这些模块在运行时与应用程序绑定在一起才能工作。

 

 

 

基于PAM实现的密码策略

 

需要使用pam_passwdqc.so模块控制权限

修改 vi /etc/pam.d/system-auth 

 

启用 pam_passwdqc.so 验证模块

上传到    /lib64/security/ 目录下

 

修改

 

password required  pam_passwdqc.so min=disabled,disabled,18,12,12max=30 passphrase=3 match=4 similar=deny enforce=everyone disable_firstupper_lastdigit_check 

 

 

 

规则解释如下: 
1)只包含一种字符的密码,拒绝(大小写,数字,特殊字符分别为4种字符) 
2)只包含两种字符的密码,拒绝 
3)如果密码中被识别出了常用的单词,那么最小长度就必须为18位。常用单词的最小识别长度为3.(由passphrase=3制定) 
4)包含三种字符的密码,最小长度为12位 
5) 包含四种字符的密码,最小长度为12位 
6)如果发现本次修改的密码跟老密码有4个substring的长度类似,就认为是弱密码。(match=4 similar=deny) 
7) 这个策略对所有用户都生效。(enforce=everyone ) 
8)默认情况下,对于输入的密码,如果第一个字母是大写字母,或者最后一个字母为数字,则不会计入密码字符的种类。比如:Fuck1234,由于第一个F是大写字母,所以会被认为,该密码只有小写字母和数字两种字符。用disable_firstupper_lastdigit_check 禁止了这种识别。 

修改完成后实现 如下

 

 

 

 

 

 

生成密码

 

可以采用linux自带的系统密码工具

如果未安装

yum install expect.x86_64   

 

参数使用

-l #      (length of password, default = 7)
                  指定密码的长度,默认是7位数
-d #      (min # of digits, default = 2)
                  指定密码中数字最少位数,默认是2 
-c #      (min # of lowercase chars, default = 2)
                  指定密码中小写字母最少位数,默认是2位
-C #      (min # of uppercase chars, default = 2)
                  指定密码中大写字母最少位数,默认是2位
 
-s #      (min # of special chars, default = 1) 
                  指定密码中特殊字符最少位数,默认是1位
-v        (verbose, show passwd interaction)

安装后可以使用   mkpasswd -l 18 -s 4 -c 4 -C 4

 

 

 普通修改密码报错    

passwd: Authentication token manipulation error

要先输入旧密码

临时处理方式:
可以通过passwd -d test清空test密码,然后用户可以自行修改密码

posted @ 2017-07-17 19:51  Pomme_king  阅读(3994)  评论(0编辑  收藏  举报