管理密碼策略

密碼策略介紹

密碼策略是操作系統針對系統安全提供的一種安全機制，就好像linux操作系統不提供超級用戶登錄一樣，密碼策略包括：密碼最小長度、密碼使用期限、歷史密碼、密碼復雜度等，在企業里面都是要求對操作系統進行密碼策略進行配置的，而且要求密碼復雜度。企業中做等級保護測評2級以上都是要求有密碼策略的，之前我有過一次做等保測評師的經歷，在企業里面幾乎沒有任何一個企業在使用這個密碼策略，很郁悶不知道是工程師們不知道還是什么原因，在這里我就為大家簡單介紹一下如何設置密碼策略

根據相關要求密碼需要滿足以下幾點要求:

• 用戶有責任和義務妥善保管其個人帳號和密碼，不得在任何場合隨意公開自己的帳號和密碼，不得泄漏他人。由于密碼泄漏造成的不良后果由帳號擁有人承擔相關責任

• 密碼長度不得少于6位

• 密碼由數字、標點、大小寫字母和特殊符號組成，并具有必要的組合復雜度，禁止使用連續或相同的數字、字母組合（如123456等）和其他易于破譯的組合作為密碼。

• 密碼不得以任何形式的明文存放在主機電子文檔中，不得以明文形式在電子郵件、傳真中傳播。

• 系統管理人員在建立帳號時，對所分配帳號的初始密碼設置為第一次登錄強制修改。對于不能強制修改密碼的系統，系統管理員創建帳號后立即通知用戶修改密碼，用戶在第一次登錄系統并修改密碼之后反饋系統管理員，并由系統管理員進行復核。

• 用戶應定期（至少每季度一次）進行密碼的修改，并且同一密碼不能反復使用。

????。。。。。。。。。。。。。。等，具體要求可以查看等保2.0密碼技術應用分析

?windows設置密碼策略?

windows密碼策略有以下這些設置：

• 密碼必須符合復雜性要求

• 密碼長度最小值

• ?密碼最短使用期限

• 密碼最長使用期限

• 強制密碼歷史

• 用可還原的加密存儲密碼

接下來對這些配置進行修改

打開管理工具

打開本地安全策略-賬戶策略-密碼策略

然后就可以根據自己的需求去進行調整，下面是我推薦大家進行設置的，僅供參考

Linux系統設置密碼策略

對于linux可能大家都很少知道有密碼策略這回事吧，好多人都認為linux安全機制已經很強大了，而且大多數linux采用可插拔密碼認證來加強密碼的安全策略，下面就來說說linux的密碼策略，linux密碼策略要比windows密碼策略要強大許多

linux密碼策略有以下設置：

• 密碼的最大有效期

• 密碼最長使用時間

• 密碼最小長度

• 密碼失效前提前多少天進行提醒

• 密碼大小寫以及數字、特殊字符等限制

• 新舊密碼不能相同

• 新舊密碼長度不能相同

• 賬號鎖定時間

• 賬號自動解鎖時間

密碼策略配置文件路徑：

• 在centos/redhat等系統中路徑：/etc/pam.d/system-auth

• ubuntu等系統中路徑：/etc/pam.d/common-password

文件內容如下：（版本不同，內容有一些差別）

# /etc/pam.d/common-password - password-related modules common to all services
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
# used to change user passwords. ?The default is pam_unix.

# Explanation of pam_unix options:
# The "sha512" option enables salted SHA512 passwords. ?Without this option,
# the default is Unix crypt. ?Prior releases used the option "md5".
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs.
# See the pam_unix manpage for other options.

# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. ?See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
password ? ? ? ?[success=1 default=ignore] ? ? ?pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password ? ? ? ?requisite ? ? ? ? ? ? ? ? ? ? ? pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password ? ? ? ?required ? ? ? ? ? ? ? ? ? ? ? ?pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

密碼過期時間以及有效期等配置文件：/etc/login.defs，文件部分內容：

PASS_MAX_DAYS：一個密碼可使用的最大天數。

PASS_MIN_DAYS：兩次密碼修改之間最小的間隔天數。

PASS_MIN_LEN：密碼最小長度。

PASS_WARN_AGE：密碼過期前給出警告的天數

下面為大家舉例說明linux用戶密碼策略：

• 設置密碼最大使用時間（PASS_MAX_DAYS）

這個用來限制密碼最大可以使用的天數。時間到了會強制進行密碼鎖定。如果忘記修改，那么就無法登錄系統。需要使用管理員賬戶進行解鎖后才能繼續使用。這個可以在?/etc/login.defs?文件中的PASS_MAX_DAYS參數設置。在企業中一般把這個值設置為30天，也就是一個月修改一次密碼。

root@test:/etc#? vim login.defs

PASS_MAX_DAYS? 30? ? ? ? ?//單位為天數

• 設置密碼最小天數（PASS_MIN_DAYS）

這個是限制多長時間無法進行密碼修改。當值為15時，表示15天內無法修改密碼，也就是兩次密碼修改中間最少隔15天，這個可以在?/etc/login.defs?文件中PASS_MIN_DAYS參數設置。企業中一般不對此項進行控制，這個根據自己需求進行修改，我這里設置10天。

root@test:/etc#? vim login.defs

PASS_MIN_DAYS? ? 10? ? ? ? ? ? //單位為天數

• 設置密碼過期前警告（PASS_WARN_AGE）

這個用來提醒用戶該進行密碼修改了，也就是在密碼即將過期的時候，會給用戶一個警告提示，在未到最大密碼使用時間，會每天進行提醒，這可以提醒用戶在密碼過期前修改他們的密碼，否則我們就需要聯系管理員來解鎖密碼。這個可以在?/etc/login.defs?文件中PASS_WARN_AGE參數設置。?這個企業中一般設置為3天，我這里就設置為3天

root@test:/etc#? vim login.defs

PASS_WARN_AGE? ? ?3? ? ? ? ? ?//單位為天數

• 避免重復使用舊密碼

這個用來防止更改密碼時設置為舊密碼，尋找同時包含“password”和"pam_unix.so"的行，然后再這行后面加上“remember=天數”。這將防止N個最近使用過的密碼被用來設置為新密碼，這個配置文件是在 /ect/pam.d/common-password 文件中（主要，centos/redhat需要修改：/etc/pam.d/system-auth文件），這個在企業中一般設置為5，我這里就設置5

ubuntu：

root@test/etc# vim?pam.d/common-password

password ? ? ? ?[success=1 default=ignore] ? ? ?pam_unix.so obscure sha512? ?remember=5

centos/redhat:

root@test/etc# vim? pam.d/common-password

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

• 設置密碼復雜度

這個用來控制密碼的復雜程度的，應安全性要求，企業里面要求大小寫、特殊字符、數字等最受三個進行組合并且長度最少為8。尋找同時包含“password”和“pam_cracklib.so”的一行，并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。這將迫使你在密碼中至少包括一個大寫字母、兩個小寫字母、一個數字和一個符號。

ubuntu:

root@test/etc# vim?pam.d/common-password

password ? ? ? ?requisite? ?? pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

centos/redhat:

root@test/etc# vim?pam.d/system-auth

password ? ? ? ?requisite? ?? pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1