Linux服务器:如何设置账户锁定策略

[复制链接] |主动推送
查看38 | 回复0 | 2024-9-11 15:08:42 | 显示全部楼层 |阅读模式
在Linux服务器上,启用账户锁定策略是提高系统安全性的重要步骤。通过限制账户的登录尝试次数和实施密码策略,可以有效地防止暴力破解攻击。以下是启用账户锁定策略的一般步骤:
步骤1:配置PAM(Pluggable Authentication Modules)
PAM是Linux中用于管理用户身份验证的模块。要启用账户锁定策略,需要编辑PAM配置文件。
打开/etc/pam.d/system-auth文件(或相应的PAM配置文件)。
在文件的auth部分添加以下行:
auth required pam_tally.so deny=5 unlock_time=600 even_deny_root
这行配置的含义是:当登录失败达到5次时,用户账户将被锁定,并在锁定后的600秒(10分钟)内无法解锁。even_deny_root表示即使是root用户也会受到锁定的限制。
步骤2:配置密码策略
打开/etc/security/pwquality.conf文件(或相应的密码策略配置文件)。
在文件中添加以下行:
maxrepeat = 3
minclass = 4
   minlen = 8
这行配置的含义是:密码不能包含相同字符超过3次,至少包含4种字符类别(大写字母、小写字母、数字、特殊字符),密码长度至少为8个字符。
步骤3:配置密码文件
打开/etc/security/opasswd文件(或相应的密码文件)。
确保该文件存在,如果不存在可以创建一个空文件。
步骤4:修改密码策略设置
打开/etc/login.defs文件。
查找以下行,并确保值设置为相应的数字:
PASS_MAX_DAYS 99999  PASS_MIN_DAYS 0  PASS_WARN_AGE 7
这表示密码的最大有效天数、最小有效天数和提前多少天发出密码到期警告。
步骤5:重启PAM服务
在完成上述更改后,建议重启PAM服务以使更改生效。执行以下命令重启PAM服务:
sudo systemctl restart pam.service
注意事项:
在进行这些更改之前,请确保备份相关的配置文件,以免在配置过程中发生错误。以上配置示例是通用的,具体配置可能因Linux发行版而异,请根据你使用的发行版查看相应的文档。可以根据实际需求调整deny、unlock_time、maxrepeat、minclass、minlen等参数的值。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则