系统安全加固2——密码有效期
密码有效期与文章《系统安全加固1——密码复杂度》配合设置,起到强化作用。
1、环境
操作系统 :Server 8.3 (衍生自 CentOS 8.3)
2、修改系统默认密码有效期
密码有效期的配置文件为:/etc/login.defs 。这四行内容的解释在文件中也给出了。
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 90
PASS_MIN_DAYS 0
PASS_MIN_LEN 8
PASS_WARN_AGE 7
这里面重要的是:
- 第一行:密码有效期天数(白话:过了90天,密码就失效了);
- 第二行:两次密码修改需要的间隔天数(此处为0,也就是可以多次修改密码)
- 第三行:密码最小位数,与《系统安全加固1——密码复杂度》中密码最小位数保持一致;
- 第四行:密码过期告警日期(此处为提前一周给出密码过期告警)
因为我要将修改固化到Server 8.3系统中,所以我需要修改软件包来实现。/etc/login.defs文件属于shadow源码包(shadow-utils.login.defs文件)。
修改内容和上面保持一致。
3 需要注意的点
3.1 系统中直接修改
1)在一个已经安装好的系统中,修改/etc/login.defs文件之后,并不会立即生效。
2)在已经安装好的系统中,修改/etc/shadow文件中用户名所在行的密码有效期(将99999(永不过期)修改为其他数字时),只要用户使用到需要密码的场景,首先会弹出修改密码的提示(也就是立即生效了)。
3.2 修改shadow软件包后,重打ISO
安装完系统、重启之后,强制需要修改密码(对普通用户,对root并没有生效)。原因是/etc/shadow中用户名后面的密码有效期数据修改了!
3.3 注意/etc/login.defs文件中开头的注释信息
请注意,这个配置文件中的参数控制着来自shadow-utils组件的工具的行为。这些工具都没有使用PAM机制,\
因此使用PAM的工具(如passwd命令)应该在其他地方配置。更多信息请参考/etc/pam.d/system-auth。
shadow-utils包中提供的命令(不使用PAM机制)有:
[root@localhost etc]# rpm -ql shadow-utils
......
/usr/bin/chage
/usr/bin/gpasswd
/usr/bin/lastlog
/usr/bin/newgidmap
/usr/bin/newgrp
/usr/bin/newuidmap
/usr/bin/sg
/usr/sbin/adduser
/usr/sbin/chgpasswd
/usr/sbin/chpasswd
/usr/sbin/groupadd
/usr/sbin/groupdel
/usr/sbin/groupmems
/usr/sbin/groupmod
/usr/sbin/grpck
/usr/sbin/grpconv
/usr/sbin/grpunconv
/usr/sbin/newusers
/usr/sbin/pwck
/usr/sbin/pwconv
/usr/sbin/pwunconv
/usr/sbin/useradd
/usr/sbin/userdel
/usr/sbin/usermod
/usr/sbin/vigr
/usr/sbin/vipw
......
4 测试用例点
1)密码有效期过后,强制修改密码(此处可以通过改短有效期时间来测试)
2)密码过期提示不满足7天之内,没有提示
3)密码过期提示满足7天之内,显示提示信息
此篇内容已经在Server 8.3上进行过验证!
