密碼策略不設防?等保 2.0 下,這些 Linux 加固配置你必須知道!
隨著網絡安全威脅不斷增加,確保密碼安全對于保護系統免受攻擊至關重要。然而,使用簡單密碼、默認密碼或長期不更換密碼的情況仍然普遍存在,這給了黑客可乘之機。
為解決這些問題,《等級保護2.0》標準對密碼復雜度、有效期及定期更換提出了明確要求。不符合這些規定的系統需改進以達到安全標準。
本文將指導您如何在各種Linux操作系統上根據《等級保護2.0》設置和管理密碼策略,既增強安全性也符合最新合規需求。希望這對您有所幫助!
一、等保2.0對密碼策略的“硬性標準”
控制要素 | 最低要求(建議配置) |
密碼最小長度 | 不少于 8 位(推薦 12 位及以上) |
字符組成要求 | 至少包含大小寫字母、數字、特殊字符三類中的兩類以上 |
密碼有效期 | 一般不超過 90 天 |
禁止重復使用歷史密碼 | 推薦至少記住最近 5 次密碼 |
連續登錄失敗鎖定機制 | 限制輸錯次數,鎖定時間適當 |
等保不是“建議”,是“必須”!而密碼策略,是合規檢查中的重點項目。
二、主流Linux系統密碼策略配置全攻略
以下操作適用于CentOS、RHEL、Ubuntu、Debian、openSUSE 等主流發行版。
第一步:安裝依賴模塊
pam_pwquality是密碼復雜度策略的核心模塊,如果未安裝,需要先進行安裝:
CentOS / RHEL / Rocky Linux:
sudo yum install-y pam pwqualityUbuntu / Debian:
sudo apt install-y libpam-pwquality檢查是否已安裝可使用:
find / -name pam_pwquality.so 2>/dev/null第二步:設置密碼復雜度策略
編輯配置文件:
sudo vi /etc/security/pwquality.conf推薦配置如下:
minlen=12 # 最小密碼長度
ucredit=-1 # 至少一個大寫字母
lcredit=-1 # 至少一個小寫字母
dcredit=-1 # 至少一個數字
ocredit=-1 # 至少一個特殊字符
retry=3 # 密碼輸入錯誤允許重試次數所有負數表示必須包,值為-1表示必須包含1個。
第三步:配置PAM模塊以啟用密碼策略
系統通過PAMPluggable Authentication Modules機制對密碼策略進行控制。
RHEL/CentOS 路徑:
編輯 /etc/pam.d/system-auth:
password requisite pam_pwquality.so try_first_pass local_users_only retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1Ubuntu/Debian 路徑:
編輯 /etc/pam.d/common-password,插入:
password requisite pam_pwquality.so retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_rootenforce_for_root 表示強制root用戶也遵守復雜度策略,防止特權賬戶疏忽。
第四步:設置密碼有效期
為確保密碼定期更換,編輯 /etc/login.defs:
PASS_MAX_DAYS 90# 最長使用時間
PASS_MIN_DAYS 7# 最短更換間隔
PASS_WARN_AGE 7# 過期前警告天數為所有已有用戶生效:
for user in$(awk -F: '$3 >= 1000 && $3 < 65534 {print $1}' /etc/passwd);do
chage --maxdays90--mindays7--warndays7"$user"
done三、加分項:增強防爆破、禁止弱口令
1. 限制登錄失敗次數 + 賬戶鎖定時間
在 /etc/pam.d/system-auth 或 /etc/pam.d/common-auth 中添加:
auth required pam_faillock.so preauth silent deny=5unlock_time=300
auth [default=die] pam_faillock.so authfail deny=5unlock_time=300含義: 連續輸錯密碼 5 次,鎖定賬號 5 分鐘。
2. 黑名單禁止弱口令
編輯 /etc/security/pwquality.conf,增加:
badwords=/etc/security/weak_words然后創建自定義弱口令詞典:
echo -e"123456\npassword\nadmin\nwelcome\nroot123"> /etc/security/weak_words這樣,用戶在設置上述弱密碼時將會被直接拒絕。
四、加固腳本
系統加固已不是“做不做”的問題,而是“做得夠不夠”。尤其是在企業運維中,面對等級保護2.0的合規壓力,僅靠手動配置顯然效率低下、容易遺漏。為了幫助廣大運維人員快速完成核心安全配置,我們特意打造了一款系統等保加固配置工具,一鍵覆蓋SSH加固、密碼策略、日志審計、防火墻等關鍵環節,簡單高效,開箱即用。??????
