ToB企服应用市场:ToB评测及商务社交产业平台

标题: Linux用户暗码周期和到期条件示设置 [打印本页]
作者: 何小豆儿在此    时间: 昨天 20:28
标题: Linux用户暗码周期和到期条件示设置
1、暗码周期策略介绍

  Linux暗码生存周期是指暗码从创建到失效的整个时间段,这个周期包罗了暗码的有效期、警告期、禁用期和最小/最大暗码更改间隔等参数,这些参数可以通过Linux系统的/etc/login.defs文件举行配置。在 Linux 系统中,实行有效的暗码更改与逾期策略是维护系统安全的关键,在暗码即将逾期之前,系统可以提前警告用户,以便用户有时间更改暗码,通过强制用户定期更改暗码,可以低落暗码被破解的风险,而暗码有效期策略则确保了纵然暗码被泄露,也不会长时间影响系统安全。
2、系统情况

  系统情况:RedHat 8.0
  重要配置文件:/etc/login.defs
3、文件内容及参数含义

  /etc/login.defs配置文件内容
  1. 1 [root@RedHat8 ~]# cat /etc/login.defs
  2. 2 #
  3. 3 # Please note that the parameters in this configuration file control the
  4. 4 # behavior of the tools from the shadow-utils component. None of these
  5. 5 # tools uses the PAM mechanism, and the utilities that use PAM (such as the
  6. 6 # passwd command) should therefore be configured elsewhere. Refer to
  7. 7 # /etc/pam.d/system-auth for more information.
  8. 8 #
  9. 9
  10. 10 # *REQUIRED*
  11. 11 #   Directory where mailboxes reside, _or_ name of file, relative to the
  12. 12 #   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
  13. 13 #   QMAIL_DIR is for Qmail
  14. 14 #
  15. 15 #QMAIL_DIR      Maildir
  16. 16 MAIL_DIR        /var/spool/mail
  17. 17 #MAIL_FILE      .mail
  18. 18
  19. 19 # Password aging controls:
  20. 20 #
  21. 21 #       PASS_MAX_DAYS   Maximum number of days a password may be used.
  22. 22 #       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
  23. 23 #       PASS_MIN_LEN    Minimum acceptable password length.
  24. 24 #       PASS_WARN_AGE   Number of days warning given before a password expires.
  25. 25 #
  26. 26 PASS_MAX_DAYS   99999
  27. 27 PASS_MIN_DAYS   0
  28. 28 PASS_MIN_LEN    5
  29. 29 PASS_WARN_AGE   7
  30. 30
  31. 31 #
  32. 32 # Min/max values for automatic uid selection in useradd
  33. 33 #
  34. 34 UID_MIN                  1000
  35. 35 UID_MAX                 60000
  36. 36 # System accounts
  37. 37 SYS_UID_MIN               201
  38. 38 SYS_UID_MAX               999
  39. 39
  40. 40 #
  41. 41 # Min/max values for automatic gid selection in groupadd
  42. 42 #
  43. 43 GID_MIN                  1000
  44. 44 GID_MAX                 60000
  45. 45 # System accounts
  46. 46 SYS_GID_MIN               201
  47. 47 SYS_GID_MAX               999
  48. 48
  49. 49 #
  50. 50 # If defined, this command is run when removing a user.
  51. 51 # It should remove any at/cron/print jobs etc. owned by
  52. 52 # the user to be removed (passed as the first argument).
  53. 53 #
  54. 54 #USERDEL_CMD    /usr/sbin/userdel_local
  55. 55
  56. 56 #
  57. 57 # If useradd should create home directories for users by default
  58. 58 # On RH systems, we do. This option is overridden with the -m flag on
  59. 59 # useradd command line.
  60. 60 #
  61. 61 CREATE_HOME     yes
  62. 62
  63. 63 # The permission mask is initialized to this value. If not specified,
  64. 64 # the permission mask will be initialized to 022.
  65. 65 UMASK           077
  66. 66
  67. 67 # This enables userdel to remove user groups if no members exist.
  68. 68 #
  69. 69 USERGROUPS_ENAB yes
  70. 70
  71. 71 # Use SHA512 to encrypt password.
  72. 72 ENCRYPT_METHOD SHA512
复制代码
  本次暗码周期策略实验中需要关注的配置文件参数含义如下:  
    PASS_MAX_DAYS         暗码使用的最大有效期天数   
    PASS_MIN_DAYS        两次修改暗码的最短间隔时间,为0时代表任何时间都可以更改暗码
    PASS_MIN_LEN        暗码最小长度
    PASS_WARN_AGE        暗码失效前的告警天数
4、修改/etc/login.defs配置文件

  使用命令: vi /etc/login.defs 对配置文件举行编辑,修改配置文件参数如下:
    PASS_MAX_DAYS      9         
    PASS_MIN_DAYS    1        
    PASS_MIN_LEN      12       
    PASS_WARN_AGE    10
  1. 1 [root@RedHat8 ~]# cat /etc/login.defs
  2. 2 #
  3. 3 # Please note that the parameters in this configuration file control the
  4. 4 # behavior of the tools from the shadow-utils component. None of these
  5. 5 # tools uses the PAM mechanism, and the utilities that use PAM (such as the
  6. 6 # passwd command) should therefore be configured elsewhere. Refer to
  7. 7 # /etc/pam.d/system-auth for more information.
  8. 8 #
  9. 9
  10. 10 # *REQUIRED*
  11. 11 #   Directory where mailboxes reside, _or_ name of file, relative to the
  12. 12 #   home directory.  If you _do_ define both, MAIL_DIR takes precedence.
  13. 13 #   QMAIL_DIR is for Qmail
  14. 14 #
  15. 15 #QMAIL_DIR      Maildir
  16. 16 MAIL_DIR        /var/spool/mail
  17. 17 #MAIL_FILE      .mail
  18. 18
  19. 19 # Password aging controls:
  20. 20 #
  21. 21 #       PASS_MAX_DAYS   Maximum number of days a password may be used.
  22. 22 #       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
  23. 23 #       PASS_MIN_LEN    Minimum acceptable password length.
  24. 24 #       PASS_WARN_AGE   Number of days warning given before a password expires.
  25. 25 #
  26. 26 PASS_MAX_DAYS   9
  27. 27 PASS_MIN_DAYS   1
  28. 28 PASS_MIN_LEN    12
  29. 29 PASS_WARN_AGE   10
复制代码
5、测试

5.1、已有账户测试

  暗码有效期测试截图:

   用户登录测试:

   暗码修改测试截图:
         
5.2、新用户测试

  使用命令: useradd test ,新建test用户, passwd test ,设置test用户暗码123456
  暗码有效期截图:

   用户登录测试截图:

   暗码修改测试截图:

5.3、测试结论

  已有账户测试情况:从shadow文件中可以看出,暗码周期配置参数未生效,且在用户登录过程中也未收到暗码到期条件醒的消息,短时间内修改暗码操作乐成。
  新建账户测试情况:从shadow文件中可以看出,暗码周期配置参数生效,并且在用户登录过程中收到暗码到期前的提示消息,但在短时间内依然可以正常修改暗码。
  测试结论:对于在修改login.defs配置文件前就已经存在的用户,暗码周期策略不生效,对于在修改login.defs配置文件后新建的用户,暗码周期策略生效,且可以或许收到暗码到期前的提示消息,但两次修改暗码的最短间隔时间和暗码长度不生效,依然可以修改乐成。 
5.4、延伸拓展

  对于已有账户,若想实现暗码定期更换的本领,可通过chage命令来举行修改,chage命令用法如下:

  使用chage命令修改root用户暗码的有效期、两次修改暗码的最短间隔时间和暗码到期条件示。
  使用命令:
  1. [root@RedHat8 ~]# chage -M 7 root    root密码最大有效期时间为7天
  2. [root@RedHat8 ~]# chage -m 3 root    root密码修改的最短间隔时间为3天
  3. [root@RedHat8 ~]# chage -W 8 root    root密码到期前8天提示
复制代码
  root账户暗码信息截图:

   root用户登录测试截图:

   root用户暗码修改测试:

   使用命令: chage -l root ,查看关于root账户的暗码相关信息。

   测试结论:使用chage命令后,用户的暗码有效期、暗码逾期前的提示已生效,但两次修改暗码的最短间隔时间未生效,暗码可以在短时间内正常修改(为什么没有生效不清楚,可以研究一下,有了解这一块的大佬,麻烦分享我一下)

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4