pam密码复杂度设置

最新推荐文章于 2026-05-24 00:00:00 发布
原创 最新推荐文章于 2026-05-24 00:00:00 发布 · 2.5w 阅读 · 30 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#linux
本文介绍了如何在Linux系统中通过PAM(Pluggable Authentication Modules)设置密码复杂度,包括安装libpam_cracklib、调整`/etc/pam.d/common-password`文件以设定密码策略,以及设置登录失败后的用户锁定和解锁方法。通过修改`/etc/pam.d/login`和`/etc/pam.d/lightdm`文件,实现对tty1和图形界面的登录限制。同时提供了使用`faillog`命令查看和管理用户登录错误次数的方法。
pam密码复杂度设置
1.安装libpam_cracklib
     系统对密码的控制是有两部分组成:
     1 cracklib
      2 /etc/login.defs
     apt-get install lib_cracklib或者下载两个deb包:cracklib-runtime     libpam_cracklib
     可以通过查找pam_cracklib.so的存在来检车是否安装
2.密码长度及密码复杂度
  vi  /etc/pam.d/common-password
 password requisite pam_cracklib.so  后面添加
 retry=3 difok=3 minlen=8 #表示输入允许三次,新密码与旧密码不同的个数为三个,密码设置至少8-n次  n指的是密码类型数
ucredit=-1  lcredit=-1  dcredit=-1  ocredit=-1  #表示密码设置时至少含一个大写字母,一个小写字母,一个数字,一个符号  但是按照需求至少含有两种字符的组合,则只要在后面添加 minclass=2
3.登录失败锁定用户和解锁
执行 vi /etc/pam.d/login  
顶行新起一行,加入 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10
如果不限制root用户,则可以写成auth required pam_tally2.so deny=3 unlock_time=5
以上方法是针对tty1
但是如果要对lubuntu图形界面进行锁定的话:
执行 vi /etc/pam.d/lightdm  
在#%PAM1.0下新起一行,加入 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10
以上方法是无法解锁

所以小渣又找了新方法
在#%PAM1.0下新起一行,加入auth required pam_tally.so deny=3 onerr=fail lock_time=300
解除锁定的方法
在服务器端以root用户登录
执行命令
faillog -a  查看用户登录错误次数
如果超过n次的话,用户不能登录并且此后登录用户错误登录次数还是会增加
在登录错误次数不满三次时,登录成功后,则这个用户登录错误值将清零,退出后重新ssh登录将采用新的计数
faillog -u user -r #清空指定用户user的错误登录次数
faillog -r #清空所有用户错误登录次数
手动锁定和解锁
usermod -L 用户名  锁定
usermod -U 用户名  解锁



(完整版)工业互联网.docx
09-20
(完整版)工业互联网.docx
Linux安全加固手册
weixin_34054931的博客
12-06 2074
1 身份鉴别 1.1 密码安全策略 操作系统和数据库系统管理用户身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换。 设置有效的密码策略,防止攻击者破解出密码 1)查看空口令帐号并为弱/空口令帐号设置密码 # awk -F: '($2 == ""){print $1}' /etc/shadow 可用离线破解、暴力字典破解或者密码网站...
Linux PAM 配置详解:从原理到实战,彻底阻断非授权提权
最新发布
vortex5的博客
05-24 532
Linux系统权限管理存在两条独立路径:su路径和sudo路径。常见教程仅通过pam_wheel.so限制su路径,却忽略了sudo su -的提权漏洞。PAM模块通过四类管理标记实现分层认证,其中pam_wheel.so可限制只有wheel组成员能使用su。要完全防护,需同时配置/etc/sudoers禁止su和bash命令。建议采用白名单策略精确授权,并通过流程图展示双重防护机制。验证时需测试非wheel用户能否通过两种路径提权。
登录失败处理与口令复杂度策略配置
weixin_44950652的博客
04-22 2267
登录失败处理与口令复杂度策略配置口令复杂度策略配置登录失败处理登录失败处理 口令复杂度策略配置 修改 vim /etc/pam.d/system-auth文件,但是,把一下配置放在password的配置第一行才会生效 password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 登录失败处理 修改 vim /etc/pam.d/sshd 文件,这个文件时远程登录失败处理的,本地登录不
linux的安全加固
seaship的博客
04-27 671
1.设置复杂密码 服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ,也可使用密码生成器自动生成复杂密码 2.设置密码策略 修改文件/etc/login.defs PASS_MAX_DAYS 90 密码最长有效期 PASS_MIN_DAYS 10 密码修改之间最小的天数 PASS_MIN_LEN 8 密码长度 PASS_WARN_AGE 7
Linux密码策略
qq_43691733的博客
06-11 1318
密码最小长度 /etc/login.defs PASS_MIN_LEN 5 #密码最小长度,使用pam_cracklib module,该参数不再有效 密码过期期限 /etc/login.defs PASS_MAX_DAYS 99999 #密码的最大有效期, 99999:永久有期 PASS_MIN_DAYS 0 #是否可修改密码,0可修改,非0多少天后可修改 PASS_WARN_AGE 7 #密码失效前多少天在用户登录时通知用户修
linux 密码设置及登陆控制/设置密码复杂度 (/etc/pam.d/system-auth)
热门推荐
西京刀客
06-15 4万+
文章目录一、linux密码设置及登陆控制1. Linuxpam模块1.1 PAM的模块类型1.2 常用PAM模块介绍2. LINUX设置密码复杂度3. 用户不能使用su来进行切换用户二、参考 一、linux密码设置及登陆控制 密码设置及登陆控制文件位置:/etc/pam.d/system-auth 1. Linuxpam模块 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机
linux pam 解锁_Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)
weixin_34193979的博客
12-24 3658
1、Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf2、模块的添加方法:/etc/pam.d/passwdpassword required pam_pwquality.so ret...
linux pam 解锁_Linux 如何设置密码复杂度
weixin_39882271的博客
01-10 534
对于 Linux 系统管理员来说,用户管理是最重要的事之一。这涉及到很多因素,实现强密码策略是用户管理的其中一个方面。-- Magesh Maruthamuthu(作者)对于 Linux 系统管理员来说,用户管理是最重要的事之一。这涉及到很多因素,实现强密码策略是用户管理的其中一个方面。移步后面的 URL 查看如何 在 Linux 上生成一个强密码 。它会限制系统未授权的用户的访问。所有人都知道 ...
Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)
weixin_34162629的博客
01-17 4049
1、Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf 2、模块的添加方法:/etc/pam.d/pass...
linux的CentOS操作系统密码复杂度策略设置(/etc/pam.d/system-auth的pam_pwquality.so模块)
hjxloveqsx的博客
02-10 3578
在/etc/pam.d/system-auth上找到pam_pwquality.so模块的行。
Linux设置密码复杂度
fth1002853070的博客
10-18 6131
控制用来标记处理和判断各个模块的返回值。控制分为六种:required 表示即使某个模块对用户的验证失败,也要等所有的模块都执行完毕后,PAM 才返回错误信息。requisite 和required相似,但是如果这个模块返回失败,则立刻向应用程序返回失败,表示此类型失败.不再进行同类型后面的操作.sufficient 表示如果一个用户通过这个模块的验证,PAM结构就立刻返回验证成功信息,把控制权交回应用程序。其后相关模块的所有控制都将会比忽略。
centos7 pam mysql.so_Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)
weixin_26857669的博客
02-23 1399
1、Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf2、模块的添加方法:/etc/pam.d/passwdpassword required pam_pwquality.so ret...
LINUX设置密码复杂度的文件/etc/pam.d/system-auth
ddd123789999的博客
10-29 4541
该模块执行必要的账户检验。如果enable shadow passwords,pam_unix.so模块会检验账号是否已经过期或则在宽限的时间内改过密码。 password required pam_cracklib.so retry=3 ...
centos7设置密码策略_CentOS7,REDHAT7 密码复杂度配置
weixin_39634443的博客
12-21 2830
CentOS7/RHEL7 开始使用pam_pwquality模块进行密码复杂度策略的控制管理。pam_pwquality替换了原来Centos6/RHEL6中的pam_cracklib模块,并向后兼容。使用pam_pwquality模块设置密码复杂度可以通过两种方式实现:1、直接指定pam_pwquality模块参数,即在/etc/pam.d/system-auth中的“password ...
麒麟KylinOS Desktop三种方式修改密码复杂度
太极淘的博客
05-10 5555
1、图形化修改配置参数 图形化设置的路径:设置->安全中心->账户安全->账户密码安全。选择相应级别,可以双击“自定义”,根据用户需求修改密码复杂度密码等级包括: 高级:至少8位,包含大写字母、小写字母、数字、特殊字符中的3种 中级:至少6位,包含大写字母、小写字母、数字、特殊字符中的2种 低级:无密码长度和字符类别限制 自定义:根据需要设置密码强度 自定义选项包括: 密码字符设置密码最小长度、 密码中至少包含字符种类、 大写字母最小数量、 数字字
redistemplate 设置永不过期_如何在 Linux 为系统用户设置密码复杂度策略?
weixin_39629631的博客
12-08 496
用户帐号管理是系统管理员最重要的工作之一。而密码安全是系统安全中最受关注的一块。本文将为大家介绍如何在 Linux设置系统用户密码复杂度策略。假设你已经在你的 Linux 系统上使用了 PAM (Pluggable Authentication Modules,插入式验证模块),因为这些年所有的 Linux 发行版都在使用它。一、准备工作安装 PAM 的 cracklib 模块,crackli...
centos7设置密码策略_Linux下CentOS7如何设置密码复杂度
weixin_36189159的博客
12-30 1534
今天需要测试一个数据,安装了centOS,因为某些原因,输入各种密码不对,也不知道默认值是啥,那就重新设置密码复杂度的值,具体如下:在CentOS下设置密码复杂度分为两步CentOS(1)修改/etc/login.defs文件vim /etc/login.defsPASS_MAX_DAYS90   # 密码最长过期天数PASS_MIN_DAYS80    # 密码最小过...
linux取消密码复杂度限制 笔记240306
kfepiza的博客
03-06 6970
Linux PAM(Pluggable Authentication Modules,可插拔认证模块)是一种灵活的身份验证框架,它为Linux系统提供了一种标准化的、模块化的方式来管理用户认证。每个模块都会根据其配置执行特定的检查,并返回成功或失败的结果。这个模块通常用于明确地拒绝某些类型的访问,或者作为一个“失败安全”机制,在认证链的末尾捕获所有未被前面的模块处理的请求。例如,如果您的原始密码是“password”,您需要将其更改为“password1”或“p4ssword”等,以满足密码策略的要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值