概述

本文主要內(nèi)容設(shè)定系統(tǒng)密碼的一般性原則，并按次原則在centos7上實(shí)踐和測(cè)試。

密碼安全

• 所有密碼都會(huì)以單向哈希的形式保存在可讀的 /etc/passwd 文件中
• 影子密碼可通過在/etc/shadow 文件中保存密碼哈希值岭粤，該文件只能由 root 用戶讀取

該設(shè)置什么樣的密碼

• 牢記長(zhǎng)密比短而復(fù)雜的密碼強(qiáng)
• 可以使用系統(tǒng)自帶的pwmake命令來生成密碼

# pwmake 56   //數(shù)字代表熵值，該值建議不少于56，
eNted4pYHIm!
# pwmake 128
=OKPumT4jOhjolApYzYxbuBOlof

pwmake可以指定最小熵值為56 位，這對(duì)于不常出現(xiàn)暴力破解的系統(tǒng)和服務(wù)密碼抒和，這個(gè)熵值已足夠。對(duì)于攻擊者無法直接訪問哈希密碼文件的運(yùn)用程序彤蔽， 64 位就足以適用于此類運(yùn)用程序摧莽。當(dāng)攻擊者可能獲取直接訪問哈希密碼的權(quán)限，或密碼被用作加密鑰匙時(shí)顿痪，對(duì)于此類情況應(yīng)使用 80 到 128 位镊辕。如果您無法明確指定一個(gè)具體的熵值油够，pwmake 將會(huì)使用默認(rèn)值。創(chuàng)建一個(gè) 128 位的密碼征懈。熵值產(chǎn)生于 /dev/urandom

禁止使用以下類型密碼

• 使用字典里的單詞石咬，外語(yǔ)單詞，逆序單詞卖哎，或僅使用數(shù)字碌补。
• 使用少于 10 字符的密碼或密碼短語(yǔ)。
• 使用鍵盤布局的系列鍵棉饶。
• 寫下您的密碼。
• 在密碼中使用個(gè)人信息镇匀，如出生日期照藻、周年紀(jì)念日、家庭成員姓名汗侵、或?qū)櫸锩帧?/li>
• 在不同的機(jī)器上使用相同的密碼短語(yǔ)或密碼幸缕。

密碼管理原則

• 設(shè)置一個(gè)強(qiáng)密碼給個(gè)人用戶使用
• 用戶創(chuàng)建自己的密碼，但要驗(yàn)證密碼是否安全晰韵，并且強(qiáng)制用戶定期更改密碼

一個(gè)完整的實(shí)踐范例

實(shí)踐的目標(biāo)

• 保證用戶密碼符合強(qiáng)密碼要求(通過pam_pwquality實(shí)現(xiàn))

當(dāng)用戶被要求創(chuàng)建或更改密碼時(shí)发乔，可以使用 passwd 命令行實(shí)用程序，這就是PAM-檢測(cè)軟件 ( 可插入驗(yàn)證模塊（Pluggable Authentication Modules）) 雪猪，可檢查密碼是否過短或是否容易被破解栏尚。這個(gè)檢查過程是由 pam_pwquality.so PAM 模塊執(zhí)行的。pam_pwquality 模塊是根據(jù)一系列規(guī)則只恨，用于檢查密碼的強(qiáng)度译仗。其程序有兩個(gè)步驟：首先，它檢查所提供的密碼是否能在字典中找到官觅。如果不能纵菌，它將繼續(xù)進(jìn)行另外一些額外檢查。pam_pwquality 與 其他 PAM 模塊一起堆疊在/etc/pam.d/passwd 文件下的 密碼部分休涤。而自定義規(guī)則將在 /etc/security/pwquality.conf 配置文件中具體說明咱圆。

• 鎖定登錄嘗試失敗超過三次的用戶賬戶
• 限定密碼有效期為90天

操作步驟

1. 保證用戶密碼符合強(qiáng)密碼要求

這個(gè)需要修改兩個(gè)文件

• /etc/pam.d/passwd
• /etc/security/pwquality.conf

先在/etc/pam.d/passwd添加以下的內(nèi)容,這樣才能夠使用pam_quality

password    required    pam_pwquality.so retry=3

然后在/etc/security/pwquality.conf中添加以下的內(nèi)容

difok = 5 //新密碼與舊密碼至少有5個(gè)字符不相同
minlen = 10  //強(qiáng)制密碼不少于10位
minclass = 4  //密碼要包含4種類型的字符（大寫、特殊字符功氨、數(shù)字序苏、字母）
maxsequence = 3 //檢測(cè)是否有3個(gè)連續(xù)順序的字符,如：1234，abcd
maxrepeat = 3   //檢測(cè)是否有連續(xù)重復(fù)的3個(gè)字符1111

• 注意捷凄，這個(gè)文件本身自帶一些默認(rèn)值
• 且等號(hào)前后要有個(gè)空格杠览，否則無效
• 由于root 用戶是施行密碼創(chuàng)建規(guī)則的人，盡管有出現(xiàn)警告消息纵势，他也能夠?yàn)樽约夯蚱胀ㄓ脩粼O(shè)置任何不符合規(guī)則的密碼踱阿。

測(cè)試管钳，當(dāng)不滿足4種類型的字符的要求時(shí)

[hyc@testdev1 ~]$ passwd
Changing password for user hyc.
Changing password for hyc.
(current) UNIX password:
New password:
BAD PASSWORD: The password contains less than 4 character 

2. 鎖定登錄嘗試失敗超過三次的用戶賬戶

• 需要使用pam_faillock模塊
• 需要修改文件/etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth 區(qū)段
• 注意順序
• 將登錄嘗試失敗的數(shù)據(jù)儲(chǔ)存在 /var/run/faillock 目錄下每位用戶的獨(dú)立文件中。

先修改/etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth 區(qū)段软舌，在兩文件里分別添加以下的內(nèi)容:

auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

再在兩文件的account區(qū)段分別添加以下的內(nèi)容:

account     required      pam_faillock.so

測(cè)試,當(dāng)連續(xù)3次密碼錯(cuò)誤后才漆，用戶將被鎖定10分鐘，次時(shí)佛点，如果root用戶執(zhí)行以下命令醇滥，將用以下的提示

# su - hyc
Last login: Mon Dec 30 16:26:00 CST 2019 from 192.168.3.65 on pts/2
Last failed login: Mon Dec 30 17:16:21 CST 2019 from 192.168.3.65 on ssh:notty
There were 3 failed login attempts since the last successful login.

#cat /var/run/faillock/hyc   //該文件記錄了登錄失敗的IP
192.168.3.65   192.168.3.65 192.168.3.65 

使用faillock查看登錄失敗的用戶

可以查看用戶自上次成功登錄后，每個(gè)用戶失敗登的情況超营，

[root@testdev1 ~]# faillock
hyc:
When                Type  Source                                           Valid
2019-12-30 17:28:27 RHOST 192.168.3.65                                         V
2019-12-30 17:30:36 RHOST 192.168.3.65                                         V
2019-12-30 17:31:19 RHOST 192.168.3.65                                         V
root:
When                Type  Source                                           Valid

怎樣解除用戶鎖定

• faillock --user <username> --reset

[root@testdev1 ~]# faillock --user hyc --reset
You have mail in /var/spool/mail/root
[root@testdev1 ~]# faillock
hyc:
When                Type  Source                                           Valid
root:
When                Type  Source                                           Valid
[root@testdev1 ~]#

以上是針對(duì)非root用戶的鸳玩，如果希望對(duì)root也有效，則須在/etc/pam.d/system-auth 文件和 /etc/pam.d/password-aut文件中的pam_faillock 條目里添加 even_deny_root 選項(xiàng)：

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=600
auth        sufficient    pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=600

限定密碼有效期

可以使用chage命令來指定期限演闭，格式如下：

chage -M 90 <username>

• -M 選項(xiàng)指定該密碼有效的最長(zhǎng)天數(shù),要禁用密碼過期功能不跟，通常在 -M 選項(xiàng)后使用值 99999