【Linux】密码验证设置_password requisite pam_pwquality.so try_first_pass

1. 密码强度设置

配置文件

/etc/security/pwquality.conf

/etc/pam.d/system-auth

添加密码强度

方法一：

修改配置文件/etc/pam.d/system-auth

# vim /etc/pam.d/system-auth
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
## 将上面内容注释，并添加下面内容
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
1
2
3
4

说明：

minlen=8 ##将密码的最小长度设置为8个字符。
lcredit=-1 ##将密码应包含的小写字母的最小数目设置为至少一个
ucredit=-1 ##将密码上的大写字母的最小数目设置为至少一个。
dcredit=-1 ##将密码中包含的最小位数至少设置为一个
ocredit=-1 ##设置其他符号的最小数量，例如@，＃、! $％等，至少要有一个密码
enforce_for_root ##确保即使是root用户设置密码，也应强制执行复杂性策略。如不开启，则只有非sudo权限用户生效

方法二：

1、 修改/etc/security/pwquality.conf

# grep -v \# /etc/security/pwquality.conf
minlen=12
dcredit = -1
ucredit = -1
lcredit = -1
ocredit = -1
minclass=4
## 将文件内容修改为上述内容，意为：开启长度检测为12，密码最小位数一位检测，开启大写字母检测，开启小写字母检测，开启其他符号检测，且开启最少应用上述类别的四种。
1
2
3
4
5
6
7
8

2、修改/etc/pam.d/system-auth

# vim /etc/pam.d/system-auth
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
## 将上面内容注释，并添加下面内容
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= enforce_for_root
1
2
3
4

2. 密码过期时间设置

配置文件

/etc/login.defs

root@localhost ~]# cat /etc/login.defs  | grep -v \# | grep -v ^$
PASS_MAX_DAYS  90
PASS_MIN_DAYS   0
PASS_WARN_AGE   7
...(省略其他内容)
1
2
3
4
5

说明：

PASS_MAX_DAYS 90 ##设置密码最多可多少天不修改

PASS_MIN_DAYS 2 ##设置密码修改之间最小的天数

PASS_WARN_AGE 7 ##设置密码失效前多少天通知用户