table des matières
Un, la politique de mot de passe
1.1. Politique de mot de passe
1.2. Réussir la mise en œuvre de la complexité des mots de passe
1.3. Définir la stratégie de compte de verrouillage des échecs d'authentification
Deux, définissez le délai d'inactivité de la connexion utilisateur Linux
2.1. Pour tous les utilisateurs
2.2. Pour des utilisateurs spécifiques
Un, la politique de mot de passe
1.1. Politique de mot de passe
Stratégie par défaut:
[root@hdp301 /]# cat /etc/login.defs
Le système d'exploitation Linux recommande de définir une politique de mot de passe:
- PASS_MAX_DAYS: 90 # La période de validité maximale du mot de passe
- PASS_MIN_DAYS: 2 # Le mot de passe peut être modifié après 2 jours
- PASS_WARN_AGE: 7 # Avertir l'utilisateur de changer le mot de passe lorsque l'utilisateur se connecte 7 jours avant l'expiration du mot de passe
- PASS_MIN_LENS: 8 # Longueur minimale du mot de passe, en utilisant le module pam_cracklib, ce paramètre n'est plus valide
1.2. Réussir la mise en œuvre de la complexité des mots de passe
défaut:
Après modification:
password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
- retry = N: Combien de fois l'erreur de changement de mot de passe sera-t-elle renvoyée?
- difok = N: le nouveau mot de passe doit avoir un nombre de chiffres différent de l'ancien mot de passe
- dcredit = N: N> = 0: combien de chiffres dans le mot de passe au plus; N <0 combien de chiffres dans le mot de passe
- lcredit = N: le nombre de lettres minuscules
- ucredit = N: le nombre de grosses lettres
- ocredit = N: le nombre de lettres spéciales
- minclass = N: composition du mot de passe (grandes / petites lettres, chiffres, caractères spéciaux)
- -1 signifie au moins 1 chiffre
1.3. Définir la stratégie de compte de verrouillage des échecs d'authentification
Stratégie par défaut:
[root@hdp301 /]# cat /etc/pam.d/login
Changer en:
account required /user/lib64/security/pam_tally2.so deny=5 no_magic_root reset
deny = 5 définit le verrouillage de l'utilisateur après 5 connexions
Deux, définissez le délai d'inactivité de la connexion utilisateur Linux
2.1. Pour tous les utilisateurs
[root@hdp301 /]# cat etc/profile
2.2. Pour des utilisateurs spécifiques
cd /home/sfyp_audit
vim .bash_profile
export TMOUT=300
export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S `whoami` " # 这将显示执行命令的用户