Linux 服务器安全策略配置

修改/etc/login.defs文件，控制密码的有效期

chage -l 用户名

控制密码复杂度，需已安装pam_cracklib，centos已默认安装

修改/etc/etc/pam.d/system-auth文件，添加如下语句，需放置在最前面，否则可能不生效

参数说明

Linux登录失败

1 修改/etc/hosts.allow文件，增加允许通过SSH连接的客户端IP

2 修改/etc/hosts.deny文件，增加禁止通过SSH连接的客户端IP

3 重启sshd服务和xinetd(可选)服务，使之生效

如果hosts.allow和hosts.deny文件均包含同一ip，则以hosts.all文件为准，如果只是单独配置了hosts.all文件，并没有在hosts.deny文件禁止，依然不生效

Linux是一套免费使用和自由传播的类Unix *** 作系统，是一个基于POSIX和UNIX的多用户、多任务、支持多线程和多CPU的 *** 作系统。它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想，是一个性能稳定的多用户网络 *** 作系统。在 Linux 上设置密码策略，分三个部分，具体是：

1、准备。安装一个PAM模块来启用cracklib支持，这可以提供额外的密码检查功能。在Debin,Ubuntu或者Linux Mint使用命令：

sudo apt-get install libpam-cracklib  这个模块在CentOS,Fedora或者RHEL默认安装了。所以在这些系统上就没有必要安装了。如要强制执行密码策略，我们需要修改/etc/pam.d这个与身份验证相关的文件。这个文件会在修改后立即生效。

2、设置最小密码长度。寻找同时包含“password”和“pam_cracklib.so”的一行，并在后面加上“minlen=10”。这将强行设置密码的最小密码长度为10位，其中<# of types>多少个不同类型的字符在密码中使用。有四种符号类型（大写、小写、数字和符号）。所以如果使用所有四种类型的组合，并指定最小长度为10，所允许的简单密码部分将是6位。

在Debin,Ubuntu或者Linux Mint使用命令：

sudo  vi  /etc/pam.d/common-password

修改内容：

password   requisite    pam_cracklib.so retry=3 minlen=10 difok=3

在Fedora,CentOS或RHEL使用命令：

sudo  vi  /etc/pam.d/system-auth

3、设置密码复杂度。寻找同时包含“password”和“pam_cracklib.so”的一行，并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。

在Debin,Ubuntu或者Linux Mint使用命令：

sudo  vi  /etc/pam.d/common-password

修改内容：password   requisite    pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

---