游乐游手机版
首页/科技数码/文章详情

密码策略不设防?等保 2.0 下,这些 Linux 加固配置你必须知道!

时间:2025-09-05 22:43
本文将指导您如何在各种Linux操作系统上根据《等级保护2 0》设置和管理密码策略,既增强安全性也符合最新合规需求。 随着网络安全威胁不断增加,确保密码安全对于保护系统免受攻击至关重要。然而,使用简

本文将指导您如何在各种Linux操作系统上根据《等级保护2.0》设置和管理密码策略,既增强安全性也符合最新合规需求。

随着网络安全威胁不断增加,确保密码安全对于保护系统免受攻击至关重要。然而,使用简单密码、默认密码或长期不更换密码的情况仍然普遍存在,这给了黑客可乘之机。

为解决这些问题,《等级保护2.0》标准对密码复杂度、有效期及定期更换提出了明确要求。不符合这些规定的系统需改进以达到安全标准。

本文将指导您如何在各种Linux操作系统上根据《等级保护2.0》设置和管理密码策略,既增强安全性也符合最新合规需求。希望这对您有所帮助!

一、等保2.0对密码策略的“硬性标准”

等保不是“建议”,是“必须”!而密码策略,是合规检查中的重点项目。

二、主流Linux系统密码策略配置全攻略

以下操作适用于CentOS、RHEL、Ubuntu、Debian、openSUSE等主流发行版。

第一步:安装依赖模块

pam_pwquality是密码复杂度策略的核心模块,如果未安装,需要先进行安装:

CentOS / RHEL / Rocky Linux:

sudo yum install-y pam pwquality

Ubuntu / Debian:

sudo apt install-y libpam-pwquality

检查是否已安装可使用:

find / -name pam_pwquality.so 2>/dev/null

第二步:设置密码复杂度策略

编辑配置文件:

sudo vi /etc/security/pwquality.conf

推荐配置如下:

minlen=12 # 最小密码长度ucredit=-1 # 至少一个大写字母lcredit=-1 # 至少一个小写字母dcredit=-1 # 至少一个数字ocredit=-1 # 至少一个特殊字符retry=3 # 密码输入错误允许重试次数

所有负数表示必须包,值为-1表示必须包含1个。

第三步:配置PAM模块以启用密码策略

系统通过PAMPluggable Authentication Modules机制对密码策略进行控制。

RHEL/CentOS 路径:

编辑/etc/pam.d/system-auth:

password requisite pam_pwquality.so try_first_pass local_users_only retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

Ubuntu/Debian 路径:

编辑/etc/pam.d/common-password,插入:

password requisite pam_pwquality.so retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

enforce_for_root表示强制root用户也遵守复杂度策略,防止特权账户疏忽。

第四步:设置密码有效期

为确保密码定期更换,编辑/etc/login.defs:

PASS_MAX_DAYS 90# 最长使用时间PASS_MIN_DAYS 7# 最短更换间隔PASS_WARN_AGE 7# 过期前警告天数

为所有已有用户生效:

for user in$(awk -F: '$3 >= 1000 && $3 < 65534 {print $1}' /etc/passwd);do chage --maxdays90--mindays7--warndays7"$user"done

三、加分项:增强防爆破、禁止弱口令

1. 限制登录失败次数 + 账户锁定时间

在/etc/pam.d/system-auth或/etc/pam.d/common-auth中添加:

auth required pam_faillock.so preauth silent deny=5unlock_time=300auth [default=die] pam_faillock.so authfail deny=5unlock_time=300

含义:连续输错密码 5 次,锁定账号 5 分钟。

2. 黑名单禁止弱口令

编辑/etc/security/pwquality.conf,增加:

badwords=/etc/security/weak_words

然后创建自定义弱口令词典:

echo -e"123456\npassword\nadmin\nwelcome\nroot123"> /etc/security/weak_words

这样,用户在设置上述弱密码时将会被直接拒绝。

四、加固脚本

系统加固已不是“做不做”的问题,而是“做得够不够”。尤其是在企业运维中,面对等级保护2.0的合规压力,仅靠手动配置显然效率低下、容易遗漏。为了帮助广大运维人员快速完成核心安全配置,我们特意打造了一款系统等保加固配置工具,一键覆盖SSH加固、密码策略、日志审计、防火墙等关键环节,简单高效,开箱即用。

来源:https://www.51cto.com/article/819049.html
上一篇华为Mate XTs发布,金铲铲之战鸿蒙版9月25日上线 下一篇领峰环球:非农之夜行情波动加剧,专业黄金交易平台为投资保驾护航!
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
LiblibAI云端WebUI降低AI绘画部署门槛
科技数码 · 2026-07-02

LiblibAI云端WebUI降低AI绘画部署门槛

LiblibAI在线WebUI的核心优势在于——只需通过浏览器即可流畅运行Stable Diffusion,无需自行搭建本地环境。云端直接处理运算,模型即选即试,大幅降低了AI绘画的创作门槛。对于轻量创作和模型快速测试来说,体验相当顺畅,但用户仍需重视数据隐私保护和版权合规等问题。 过去使用Stab

微软因用户不安叫停Edge浏览器AI历史搜索功能
科技数码 · 2026-07-02

微软因用户不安叫停Edge浏览器AI历史搜索功能

微软紧急暂停Edge浏览器AI历史搜索功能,该功能因被用户吐槽“令人不安”而暂缓部署。尽管微软强调所有AI处理在设备端完成且数据不上传云端,但用户仍不信任。此举与WindowsK2计划减少功能堆砌的理念一致。

红魔游戏平板5 Pro发布 4999元起售将登陆全球市场
科技数码 · 2026-07-02

红魔游戏平板5 Pro发布 4999元起售将登陆全球市场

【CNMO科技消息】近日,红魔游戏平板5 Pro正式发布。这款平板从定位上就明确瞄准“极致游戏”体验,外观方面带来了一个重磅亮点——首次引入RGB水冷散热系统,背部那条可视化的水路通道,配合纯平透明背板设计,核心配置信息一览无余,科技感十足。 图源网络 屏幕方面同样表现突出。一块9 06英寸OLED

杭州全国首所机器人学校首批30台机器人入学
科技数码 · 2026-07-02

杭州全国首所机器人学校首批30台机器人入学

30台机器人整齐列队,有的刚从生产线卸下,机械零件还带着崭新的“工业气息”;有的已搭载运动控制模块,能稳健地小跑、跳跃几下。它们来自不同制造工厂,外形与功能各有千秋,但此刻都拥有了同一个身份——杭州机器人学校的第一批入学新生。 6月30日,杭州经信正式发布:由浙江大学机器人研究院、浙江省质量科学研究

美国计划发射航天器托举天文卫星
科技数码 · 2026-07-02

美国计划发射航天器托举天文卫星

就在最近,NASA公布了一项非常果断的干预计划——他们定于6月30日实施一次“卫星维修任务”,派遣一台名为“连接”号的机器人服务卫星,为一颗超期服役的天文卫星延长运行寿命。这颗卫星是“尼尔·格雷尔斯·斯威夫特天文台”,其轨道高度正在不断衰减,如果不进行干预,今年年底前很可能会坠入地球大气层并烧毁。