Linux下密码安全策略配置

1、禁止root直接登录，采用sudo授权账号权限

vim /etc/ssh/sshd_config

找到“PermitRootLogin yes”把后面的yes改成no

2、设置密码长度12位，包括大小写、字母、数字、特殊字符

vim /etc/security/pwquality.conf

 

minlen = 12

minclass = 1

maxrepeat = 0

maxclassrepeat = 0

lcredit = -1

ucredit = -1

dcredit = -1

3、连续输入10次密码错误，锁定15分钟

vim /etc/pam.d/sshd

在#%PAM-1.0下添加：

auth       required     pam_tally2.so deny=10 unlock_time=900 even_deny_root root_unlock_time=900

4、设置每30天须修改密码，提前7天提示

vim /etc/login.defs

 

PASS_MAX_DAYS   30

PASS_MIN_DAYS   0

PASS_MIN_LEN    12

PASS_WARN_AGE   7

 

5、密码历史记录12次

vim /etc/pam.d/system-auth

 

password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=12

 

6、登录15分钟空闲自动登出

vim /etc/profile

在export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE HISTCONTROL下添加

 

export tmout=900