Thứ ba, 03/09/2013 | 00:00 GMT+7

Cách đặt chính sách mật khẩu trên VPS CentOS 6


Giới thiệu về Chính sách Mật khẩu

Chính sách password là một tập hợp các luật phải được đáp ứng khi user hệ thống đặt password . Chính sách password là một yếu tố quan trọng trong bảo mật máy tính vì password của user thường là nguyên nhân chính dẫn đến vi phạm bảo mật hệ thống máy tính. Đây là lý do tại sao hầu hết các công ty và tổ chức kết hợp policy password vào các quy định chính thức của công ty. Tất cả user và password user phải tuân theo policy password chính thức của công ty.

Chính sách password thường xác định:

  • Lão hóa password
  • Độ dài password
  • Độ phức tạp của password
  • Số lần đăng nhập thất bại
  • Số password được sử dụng lại để từ chối

Bước 1: Cấu hình /etc/login.defs - Lão hóa và Chiều dài

Kiểm soát lão hóa password và độ dài password được xác định trong file /etc/login.defs. Lão hóa password đề cập đến số ngày password tối đa được dùng , số ngày tối thiểu được phép giữa các lần thay đổi password và số ngày cảnh báo trước khi password hết hạn. Độ dài password đề cập đến số ký tự cần thiết để password được phép. Để cấu hình các kiểm soát lão hóa password và độ dài password , hãy chỉnh sửa file /etc/login.defs và đặt giá trị PASS theo policy password của công ty bạn.

Các kiểm soát lão hóa password và độ dài password không ảnh hưởng đến user hiện tại, chúng chỉ ảnh hưởng đến user mới được tạo!

  • PASS_MAX_DAYS - Số ngày tối đa một password được dùng .
  • PASS_MIN_DAYS - Số ngày tối thiểu được phép giữa các lần thay đổi password .
  • PASS_MIN_LEN - Độ dài password tối thiểu được chấp nhận.
  • PASS_WARN_AGE - Số ngày đưa ra cảnh báo trước khi password hết hạn.

Tệp cấu hình mẫu /etc/login.defs:

#
# Please note that the parameters in this configuration file control the
# behavior of the tools from the shadow-utils component. None of these
# tools uses the PAM mechanism, and the utilities that use PAM (such as the
# passwd command) should therefore be configured elsewhere. Refer to
# /etc/pam.d/system-auth for more information.
#
# *REQUIRED*
# Directory where mailboxes reside, _or_ name of file, relative to the
# home directory. If you _do_ define both, MAIL_DIR takes precedence.
# QMAIL_DIR is for Qmail
#
#QMAIL_DIR Maildir
MAIL_DIR /var/spool/mail
#MAIL_FILE .mail
# Password aging controls:
#
# PASS_MAX_DAYS Maximum number of days a password may be used.
# PASS_MIN_DAYS Minimum number of days allowed between password changes.
# PASS_MIN_LEN Minimum acceptable password length.
# PASS_WARN_AGE Number of days warning given before a password expires.
#
PASS_MAX_DAYS 90
PASS_MIN_DAYS 2
PASS_MIN_LEN 9
PASS_WARN_AGE 14
...

Bước 2: Cấu hình /etc/pam.d/system-auth - Mật khẩu phức tạp và được sử dụng lại

Bằng cách chỉnh sửa file cấu hình /etc/pam.d/system-auth, ta có thể cấu hình độ phức tạp của password và số lượng password được sử dụng lại để từ chối. Độ phức tạp của password đề cập đến độ phức tạp của các ký tự được sử dụng trong password và số lượng password được sử dụng lại để từ chối đề cập đến việc từ chối số lượng password mong muốn mà user đã sử dụng trong quá khứ. Bằng cách đặt độ phức tạp của password , ta có thể buộc user sử dụng số ký tự viết hoa, ký tự viết thường, số và ký hiệu mong muốn trong password . Nếu các tiêu chuẩn về độ phức tạp của password không được thỏa mãn, password sẽ không được hệ thống chấp nhận.

  • Buộc ký tự viết hoa trong password - ucredit = -X, trong đó X là số ký tự viết hoa bắt buộc trong password
  • Buộc ký tự chữ thường trong password - lcredit = -X, trong đó X là số ký tự chữ thường bắt buộc trong password
  • Buộc số trong password - dcredit = -X, trong đó X là số bắt buộc trong password
  • Buộc sử dụng ký hiệu trong password - ocredit = -X, trong đó X là số ký hiệu bắt buộc trong password
password requisite pam_cracklib.so try_first_pass retry=3 type= ucredit=-2 lcredit=-2 dcredit=-2 ocredit=-2
  • Từ chối password được sử dụng lại - hãy nhớ = X, trong đó X là số password trước đây cần từ chối
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

Tệp cấu hình mẫu /etc/pam.d/system-auth:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type= dcredit=-2 ucredit=-2 lcredit=-2 ocredit=-2
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so

Bước 3: Cấu hình /etc/pam.d/password-auth - Đăng nhập không thành công

Số lần đăng nhập không thành công được đặt trong file /etc/pam.d/password-auth. Số lần đăng nhập không thành công là số lần đăng nhập không thành công mà user có thể thực hiện trước khi account của họ bị khóa. Khi account bị khóa, administrator hệ thống có thể mở khóa account . Để cấu hình số lần đăng nhập thất bại, cần thêm hai dòng mới vào file /etc/pam.d/password-auth. Tham số "từ chối = X" (trong đó X là số lần đăng nhập thất bại) cấu hình số lần đăng nhập thất bại được phép trước khi account bị khóa.

auth required pam_tally2.so deny=3
account required pam_tally2.so

Tệp cấu hình mẫu /etc/pam.d/system-auth:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_tally2.so deny=3
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account required pam_tally2.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
Đệ trình bởi: @GeekPeekNet

Tags:

Các tin liên quan

Cách biên dịch Node.js với NPM từ nguồn trên CentOS 6
2013-08-21
Cài đặt và cấu hình Zenoss trên server riêng ảo CentOS
2013-07-17
Cách cài đặt Laravel 4 trên VPS CentOS 6
2013-07-15
Cách chuyển đổi video bằng FFMpeg trên CentOS 6
2013-05-31
Cách tạo plugin Nagios với Bash trên CentOS 6
2013-04-29
Cách tạo plugin Nagios với Perl trên CentOS 6
2013-04-29
Cách tạo plugin Nagios với Ruby On CentOS 6
2013-04-29
Cách tạo bản backup Off-Site cho trang web của bạn với Rsync trên Centos 6
2013-04-18
Cách cài đặt và chạy ứng dụng Node.js trên Centos 6.4 64bit
2013-04-15
Cách cài đặt Squid Proxy trên CentOS 6
2013-04-04