如何设置Linux系统的密码策略(2)

下面的例子展示了设置一个新密码中被要求的字符类的最小数量：

password requisite pam_pwquality.so retry=3 minclass=2

在基于 RPM 的系统中设置密码复杂度

在 RHEL 7.x / CentOS 7.x / Scientific Linux 7.x 中：

设置密码中至少有一个小写字母，执行：

# authconfig --enablereqlower --update

查看该设置，执行：

# grep "^lcredit" /etc/security/pwquality.conf

输出样例：

lcredit = -1

类似地，使用以下命令去设置密码中至少有一个大写字母：

# authconfig --enablerequpper --update

查看该设置：

# grep "^ucredit" /etc/security/pwquality.conf

输出样例：

ucredit = -1

设置密码中至少有一个数字，执行：

# authconfig --enablereqdigit --update

查看该设置，执行：

# grep "^dcredit" /etc/security/pwquality.conf

输出样例：

dcredit = -1

设置密码中至少含有一个其他字符，执行：

# authconfig --enablereqother --update

查看该设置，执行：

# grep "^ocredit" /etc/security/pwquality.conf

输出样例：

ocredit = -1

在 RHEL 6.x / CentOS 6.x / Scientific Linux 6.x systems 中，以 root 身份编辑 /etc/pam.d/system-auth 文件：

# nano /etc/pam.d/system-auth

找到下面这行并且在该行末尾添加：

password requisite pam_cracklib.so try_first_pass retry=3 type= minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

如上设置中，密码必须要至少包含 8 个字符。另外，密码必须至少包含一个大写字母、一个小写字母、一个数字和一个其他字符。

在基于 DEB 的系统中设置密码有效期

现在，我们将要设置下面的策略。

1. 密码被使用的最长天数。
2. 密码更改允许的最小间隔天数。
3. 密码到期之前发出警告的天数。

设置这些策略，编辑：

$ sudo nano /etc/login.defs

在你的每个需求后设置值。

PASS_MAX_DAYS 100
PASS_MIN_DAYS 0
PASS_WARN_AGE 7

正如你在上面样例中看到的一样，用户应该每 100 天修改一次密码，并且密码到期之前的 7 天开始出现警告信息。

请注意，这些设置将会在新创建的用户中有效。

为已存在的用户设置修改密码的最大间隔天数，你必须要运行下面的命令：

$ sudo chage -M <days> <username>

设置修改密码的最小间隔天数，执行：

$ sudo chage -m <days> <username>

设置密码到期之前的警告，执行：

$ sudo chage -W <days> <username>

显示已存在用户的密码，执行：

$ sudo chage -l sk

这里，sk 是我的用户名。

（编辑：ASP站长网）