linux账户安全管理与技巧

一.

 

 二.

 

 三.

 

 上述总结 使用添加删除用户和组的命令

四.

 

 

 

 

passwd -l //禁用用户帐户口令

    passwd -S //查看用户帐户口令状态

    passwd -u //恢复用户帐户口令

    passwd -d //删除用户帐户口令

五.

 

 

 -M days： 指定口令有效的最多天数。当该选项指定的天数加上-d选项指定的天数小于当前的日期时，用户在使用该帐号前就必须改变口令。

    -d days： 指定从1970年1月1日起，口令被改变的天数。

    -I days： 指定口令过期后，帐号被锁前不活跃的天数。如果值为0，帐号在口令过期后就不会被锁。

    -E date： 指定帐号被锁的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后经过的天数。

    -W days： 指定口令过期前要警告用户的天数。

    -l： 列出指定用户当前的口令时效信息，以确定帐号何时过期。

六..

1. 指定密码复杂性

 

    修改/etc/pam.d/system-auth配置：(注意：在root用户下进行，其余用户对这个文件只有读的权限)

 

    vi /etc/pam.d/system-auth

 

    限制密码最少有：2个大写字母，3个小写字母，3个数字，2个符号

 

    文件中有一行为：

 

    password requisite pam_cracklib.so try_first_pass retry=3

 

    在其后追加如下参数：

 

    ucredit=-2 lcredit=-3 dcredit=-3 ocredit=-2

 

2. 验证时若出现任何与pam_tally有关的错误则停止登录

 

    auth required pam_tally.so onerr=fail magic_root

 

3. 账号验证过程中一旦发现连续5次输入密码错误，就通过pam_tally锁定此账号600秒

 

    account required pam_tally.so deny=5 lock_time=600 magic_root reset