在企业级服务器环境中,保障系统账户安全至关重要。作为CentOS的继任者,RockyLinux 提供了强大的密码策略管理机制。本文将详细讲解如何在RockyLinux中配置密码策略,包括密码长度、复杂度、历史记录等关键安全设置,即使是Linux新手也能轻松上手。
一、为什么需要配置密码策略?
默认情况下,RockyLinux对用户密码的要求较为宽松,这可能导致弱密码被使用,从而带来安全隐患。通过合理配置Linux系统安全相关的密码策略,可以强制用户设置更复杂的密码,有效防止暴力破解和字典攻击。
二、核心工具:PAM模块
RockyLinux使用PAM(Pluggable Authentication Modules,可插拔认证模块)来管理用户认证过程。密码策略主要通过
pam_pwquality模块实现(旧版本中为
pam_cracklib)。
三、安装必要组件
首先确保系统已安装
libpwquality包:
编辑 PAM 配置文件 sudo dnf install libpwquality -y 四、配置密码复杂度策略
/etc/pam.d/system-auth
或直接修改策略参数文件 /etc/security/pwquality.conf
。推荐修改后者,因为它更直观且易于维护。
使用你喜欢的编辑器打开配置文件:
在该文件中,你可以设置以下常用参数(取消注释并修改值): 说明: 除了复杂度,还应限制密码重复使用和设置有效期。这通过 sudo vi /etc/security/pwquality.conf # 最小密码长度minlen = 10# 至少包含的小写字母数量lcredit = -1# 至少包含的大写字母数量ucredit = -1# 至少包含的数字数量dcredit = -1# 至少包含的特殊字符数量ocredit = -1# 允许与旧密码相同的字符数(设为0表示完全不能重复)difok = 3# 密码不能包含用户名usercheck = 1# 尝试失败次数限制retry = 3
- 负值(如 -1
)表示“至少包含1个”;
- minlen = 10
表示密码总长度至少为10位;
- 这些设置共同构成了一个强健的密码复杂度设置方案。五、配置密码历史与有效期
/etc/login.defs
和 /etc/pam.d/system-auth
实现。
1. 编辑
/etc/login.defs设置全局密码有效期:
2. 启用密码历史记录(防止重复使用旧密码): 首先创建存储旧密码的文件: 然后编辑 其中 创建一个测试用户或切换到普通用户,尝试修改密码: 如果输入不符合策略的密码(如太短、缺少大写字母等),系统会提示错误并要求重新输入。这说明你的PAM配置教程已成功应用! 通过以上步骤,你已经成功为 RockyLinux 系统配置了一套完整的密码安全策略。这不仅提升了RockyLinux密码策略的强度,也为整个系统的安全防线打下了坚实基础。# 密码最长使用天数(建议90天)PASS_MAX_DAYS 90# 密码最短使用天数(防止频繁改回旧密码)PASS_MIN_DAYS 7# 密码过期前多少天开始警告用户PASS_WARN_AGE 14 sudo touch /etc/security/opasswdsudo chmod 600 /etc/security/opasswdsudo chown root:root /etc/security/opasswd /etc/pam.d/system-auth
,在 password
相关行添加或修改如下内容:password requisite pam_pwquality.so try_first_pass local_users_only enforce_for_root retry=3password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 remember=5
表示系统会记住最近5次使用的密码,禁止用户重复使用。六、测试配置是否生效
passwd 七、注意事项
修改配置前建议备份原文件(如 cp /etc/security/pwquality.conf /etc/security/pwquality.conf.bak
)。 对 root 用户也生效(除非特别排除),请谨慎操作,避免锁死 root 账户。 生产环境中建议先在测试机验证策略效果。
