Linux(Unix)密码策略问题导致root密码不能修改
发布时间: 2016-01-19 浏览次数: 1034 下载次数: 5
用户修改了密码配置文件,导致root账户修改密码时报如下错误:
登陆到FC上,找到对应的机器,VNC登陆系统
2. 登陆到系统后,进入密码策略配置目录下
a. 如果是Debian、Ubuntu 或 Linux Mint 系统,编辑vim /etc/pam.d/common-password
密码策略的配置一定要如下顺序显示:
b. 如果是CentOS、Fedora、RHEL 系统,编辑vim /etc/pam.d/system-auth,密码策略的配置一定要如下顺序显示:
3. 禁止使用旧密码
找到同时有“password”和“pam_unix.so”字段并且附加有“remember=5”的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在/etc/security/opasswd 下面)。
Debian、Ubuntu 或 Linux Mint 系统:
Vim /etc/pam.d/common-password
password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5
CentOS、Fedora、RHEL 系统:
Vim /etc/pam.d/system-auth
password sufficient pamunix.so sha512 shadow nullok tryfirstpass useauthtok remember=5
4. 设置最短密码长度
找到同时有“password”和“pam_cracklib.so”字段并且附加有“minlen=10”的那行,它表示最小密码长度为(10 - 类型数量)。这里的“类型数量”表示不同的字符类型数量。PAM 提供4种类型符号作为密码(大写字母、小写字母、数字和标点符号)。如果你的密码同时用上了这4种类型的符号,并且你的 minlen 设为10,那么最短的密码长度允许是6个字符。
Debian、Ubuntu 或 Linux Mint 系统:
vim /etc/pam.d/common-password
password requisite pam_cracklib.so retry=3 minlen=10 difok=3
CentOS、Fedora、RHEL 系统:
vim /etc/pam.d/system-auth
password requisite pam_cracklib.so retry=3 difok=3 minlen=10
5. 设置密码复杂度
找到同时有“password”和“pam_cracklib.so”字段并且附加有“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”的那行,它表示密码必须至少包含一个大写字母(ucredit),两个小写字母(lcredit),一个数字(dcredit)和一个标点符号(ocredit)。
Debian、Ubuntu 或 Linux Mint 系统:
vim /etc/pam.d/common-password
password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
CentOS、Fedora、RHEL 系统:
Vim /etc/pam.d/system-auth
password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
6. 设置密码过期期限
vim /etc/login.defs
建议对密码策略不熟悉的用户不要修改密码策略,如果修改的话一定不要把顺序弄错了。
http://www.linuxidc.com/Linux/2013-05/85204.htm
http://blog.csdn.net/xyz846/article/details/26585399
https://blog.slogra.com/post-137.html