密码策略不设防?等保 2.0 下,这些 Linux 加固配置你必须知道!
本文将指导您如何在各种Linux操作系统上根据《等级保护2.0》设置和管理密码策略,既增强安全性也符合最新合规需求。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
随着网络安全威胁不断增加,确保密码安全对于保护系统免受攻击至关重要。然而,使用简单密码、默认密码或长期不更换密码的情况仍然普遍存在,这给了黑客可乘之机。
为解决这些问题,《等级保护2.0》标准对密码复杂度、有效期及定期更换提出了明确要求。不符合这些规定的系统需改进以达到安全标准。
本文将指导您如何在各种Linux操作系统上根据《等级保护2.0》设置和管理密码策略,既增强安全性也符合最新合规需求。希望这对您有所帮助!
一、等保2.0对密码策略的“硬性标准”
等保不是“建议”,是“必须”!而密码策略,是合规检查中的重点项目。
二、主流Linux系统密码策略配置全攻略
以下操作适用于CentOS、RHEL、Ubuntu、Debian、openSUSE等主流发行版。
第一步:安装依赖模块
pam_pwquality是密码复杂度策略的核心模块,如果未安装,需要先进行安装:
CentOS / RHEL / Rocky Linux:
sudo yum install-y pam pwquality
Ubuntu / Debian:
sudo apt install-y libpam-pwquality
检查是否已安装可使用:
find / -name pam_pwquality.so 2>/dev/null
第二步:设置密码复杂度策略
编辑配置文件:
sudo vi /etc/security/pwquality.conf
推荐配置如下:
minlen=12 # 最小密码长度ucredit=-1 # 至少一个大写字母lcredit=-1 # 至少一个小写字母dcredit=-1 # 至少一个数字ocredit=-1 # 至少一个特殊字符retry=3 # 密码输入错误允许重试次数
所有负数表示必须包,值为-1表示必须包含1个。
第三步:配置PAM模块以启用密码策略
系统通过PAMPluggable Authentication Modules机制对密码策略进行控制。
RHEL/CentOS 路径:
编辑/etc/pam.d/system-auth:
password requisite pam_pwquality.so try_first_pass local_users_only retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
Ubuntu/Debian 路径:
编辑/etc/pam.d/common-password,插入:
password requisite pam_pwquality.so retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
enforce_for_root表示强制root用户也遵守复杂度策略,防止特权账户疏忽。
第四步:设置密码有效期
为确保密码定期更换,编辑/etc/login.defs:
PASS_MAX_DAYS 90# 最长使用时间PASS_MIN_DAYS 7# 最短更换间隔PASS_WARN_AGE 7# 过期前警告天数
为所有已有用户生效:
for user in$(awk -F: '$3 >= 1000 && $3 < 65534 {print $1}' /etc/passwd);do chage --maxdays90--mindays7--warndays7"$user"done
三、加分项:增强防爆破、禁止弱口令
1. 限制登录失败次数 + 账户锁定时间
在/etc/pam.d/system-auth或/etc/pam.d/common-auth中添加:
auth required pam_faillock.so preauth silent deny=5unlock_time=300auth [default=die] pam_faillock.so authfail deny=5unlock_time=300
含义:连续输错密码 5 次,锁定账号 5 分钟。
2. 黑名单禁止弱口令
编辑/etc/security/pwquality.conf,增加:
badwords=/etc/security/weak_words
然后创建自定义弱口令词典:
echo -e"123456\npassword\nadmin\nwelcome\nroot123"> /etc/security/weak_words
这样,用户在设置上述弱密码时将会被直接拒绝。
四、加固脚本
系统加固已不是“做不做”的问题,而是“做得够不够”。尤其是在企业运维中,面对等级保护2.0的合规压力,仅靠手动配置显然效率低下、容易遗漏。为了帮助广大运维人员快速完成核心安全配置,我们特意打造了一款系统等保加固配置工具,一键覆盖SSH加固、密码策略、日志审计、防火墙等关键环节,简单高效,开箱即用。
相关攻略
参考指南与学习资料 若您希望在本地快速搭建并部署一个个人智能助手,OpenClaw 框架是一个理想的入门选择。为了帮助开发者更高效地上手,社区中已有丰富的学习资源与讨论可供参考,主要包括:OpenClaw 新手入门教程、核心命令行工具使用指南(openclaw -h 查看帮助)、配置文件的参数详解,
1 openclaw 工具权限报错解决方案:无法使用 exec read write webfetch 等工具的修复方法 当您在配置 openclaw 时遇到工具权限报错,提示缺少 exec、read、write、webfetch 等关键工具的使用权限,通常无需深入排查复杂的系统环境。此问题在多数
本次部署指南的核心目标非常明确:在 Linux 环境中,无论是云服务器还是本地物理机,我们都需要完整地完成 OpenClaw 智能体框架的安装与部署,并通过基础的健康检查与功能验证,确保整个系统能够成功启动并稳定运行。 一、环境要求 在开始动手安装之前,我们首先需要确认系统满足所有的基础运行环境要求
场景一:npm install 安装失败问题详解与解决方案 在进行前端开发或是安装Node js工具时,你是否经常遇到令人困扰的“npm install failed”报错?这个问题通常表现为命令行输出一串红色错误信息,最终停止在安装失败的提示上。深入分析这些报错日志,你会发现一个关键提示:缺少C+
Framework笔记本携手KDE社区:共同推进Linux桌面深度优化方案 近期,模块化笔记本领域的领导者Framework公司宣布与全球知名的开源社区KDE达成战略合作,正式成为KDE的重要赞助伙伴。这一举措不仅象征着Framework在推动开源生态发展上迈出关键一步,也标志着硬件创新厂商与顶级L
热门专题
热门推荐
速览攻略:世界圣羽翼王核心打法与全面解析 本攻略将为你完整呈现《洛克王国》世界圣羽翼王的通关秘籍,深度剖析两种高效实战打法:追求极致速度的“燃薪虫四回合速通”与稳定输出的“酷拉无限连击流”。文章将进一步解析这位翼系精灵王的技能机制、属性克制关系及其在PVE与PVP中的实战定位,帮助你彻底掌握应对其隐
速览:工程系统核心机制解析 在《异种航员2》中,工程系统是整个抵抗力量赖以运转的“战略后勤中枢”。无论是研发新武器、生产重型装甲还是制造先进飞行器,所有实体装备的产出都依赖于此。简言之,该系统的核心运作围绕着两大关键:工程师人力的高效配置与全球稀缺资源的精细化调度。工程师的数量直接决定了每个项目的建
核心速览 在《洛克王国世界》中,治愈兔是一位兼具功能性任务角色与实战辅助能力的精灵。它的价值不仅在剧情推进中体现,更在于对战里出色的治疗与防护表现。本文将为你全面解析治愈兔的精准获取位置、种族属性特点以及实战技能搭配,助你顺利捕捉并最大化其在队伍中的作用。所有关键信息将通过清晰的图文内容详细展示,确
速览 在《红色沙漠》中,挑战传说之狼这一强大的任务BOSS,需要玩家进行充分的准备并遵循完整的任务流程。整个过程环环相扣,你必须首先参与塞莱斯特家族的势力任务,通过完成任务将家族声望提升至指定等级,才能解锁【传说之狼】的专属讨伐任务,最终直面这个传说中的强大生物。 红色沙漠传说之狼怎么打 归根结底,
【宝可梦Pokopia】舒适度全解析:快速提升环境等级的核心秘诀 你是否正在探索《宝可梦Pokopia》世界,并希望有效提升宝可梦栖息地的舒适度?舒适度不仅是衡量宝可梦快乐程度的晴雨表,更是解锁游戏核心内容、加速发展的关键驱动指标。本攻略将系统性地为你揭示提升舒适度的核心途径,涵盖从装饰栖息地、建造