1.1檢查弱口令將被檢查主機(jī)的/etc/shadow文件拷貝出來
在筆記本電腦上運(yùn)行john the ripper工具檢測(cè)弱口令
檢查用戶名和密碼相同的弱口令
john.exe 'shadow' --single
使用pass.txt字典檢查弱口令
john.exe 'shadow'
--wordlist='pass.txt'
使用 “passwd 用戶名” 命令為用戶設(shè)置復(fù)雜密碼
2.2禁用無用賬號(hào)
檢查方法
使用命令“cat /etc/passwd”查看口令文件换帜,與系統(tǒng)管理員確認(rèn)不必要的賬號(hào)
FTP等服務(wù)的賬號(hào),如果不需要登錄系統(tǒng),shell應(yīng)該/sbin/nologin
加固方法 使用命令“passwd -l <用戶名>”鎖定不必要的賬號(hào)
回退方法 使用命令“passwd -u <用戶名>”解鎖賬號(hào)
2.3賬號(hào)鎖定策略
加固方法
設(shè)置連續(xù)輸錯(cuò)10次密碼,帳號(hào)鎖定5分鐘,
使用命令“vi /etc/pam.d/ system-auth”修改配置文件巫延,添加
auth required pam_tally.so onerr=fail deny=10? unlock_time=300
回退方法 使用命令“passwd -u <用戶名>”解鎖賬號(hào)
2.4密碼設(shè)置策略
詳細(xì)參數(shù)參考:https://www.cnblogs.com/kevingrace/p/5752632.html
1.1查看cat /etc/login.defs??
注釋:
PASS_MAX_DAYS表示密碼最大有效期,建議設(shè)置90天,
PASS_MIN_DAYS表示最短使用天數(shù)珠叔,不為0;
PASS_MIN_LEN表示密碼最小長(zhǎng)度弟劲,建議設(shè)置最小長(zhǎng)度為8祷安;
PASS_WARN_AGE表示密碼過期前多少天開始告警,建議設(shè)置7天告警函卒;
1.2查看 cat /etc/pam.d/system-auth
找到pam cracklib.so表示密碼復(fù)雜度辆憔,建議至少8位,包含一位大寫字母报嵌,一位小寫字母和一位數(shù)字虱咧。
type=xxx????? 當(dāng)添加/修改密碼時(shí),系統(tǒng)給出的缺省提示符是什么锚国,用來修改缺省的密碼提示文本腕巡。默認(rèn)是不修改的,如上例血筑。
minlen=8????? 定義用戶密碼的最小長(zhǎng)度為8位
ucredit=-2??? 定義用戶密碼中最少有2個(gè)大寫字母??? (數(shù)字為負(fù)數(shù)绘沉,表示至少有多少個(gè)大寫字母;數(shù)字為正數(shù)豺总,表示至多有多少個(gè)大寫字母车伞;下面同理)
lcredit=-4??? 定義用戶密碼中最少有4個(gè)小寫字母
dcredit=-1??? 定義用戶密碼中最少有1個(gè)數(shù)字
ocredit=-1??? 定義用戶密碼中最少有1個(gè)特殊字符(除數(shù)字、字母之外)
remember=5??? 修改用戶密碼時(shí)最近5次用過的舊密碼就不能重用了
type= minlen=8 ucredit=-1 lcredit=-1 dcredit=-1