51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术25年5月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何用 PAM 模块加强 Linux 密码复杂度?一文搞定!

作者:didiplus
安全 系统
在不同的Linux发行版中,配置密码复杂度的方式有所不同。通常,密码复杂度的管理是通过PAM来实现的。

在现代企业的生产环境中,信息安全是重中之重。密码作为身份验证的重要手段,其安全性直接关系到系统的整体防护能力。一个简单的密码可能是黑客攻破系统的敲门砖,带来无法估量的风险。因此,许多公司在操作系统中配置了强密码策略,以确保每一个用户密码都能抵挡住外部的攻击。

那么,如何有效地管理这些密码复杂度要求呢?

在不同的Linux发行版中,配置密码复杂度的方式有所不同。通常,密码复杂度的管理是通过PAM来实现的。

Red Hat/CentOS/Fedora系列

在Red Hat Enterprise Linux``CentOS和Fedora等发行版中,密码复杂度的配置主要通过PAM(Pluggable Authentication Modules,可插拔认证模块)中的pam_pwquality.so模块来实现。具体操作方法如下:

简单来说,你需要对系统认证文件进行编辑:

打开终端,输入以下命令进入配置文件编辑界面:

vim /etc/pam.d/system-auth
  • 1.

执行上述文件后,该文件内容如下图所示:

在该文件中,找到并修改与密码质量相关的配置项,即可实现密码复杂度的设置。

Debian/Ubuntu系列

对于Debian和Ubuntu等发行版,密码复杂度的配置同样使用pam_pwquality.so模块,但配置文件位置有所不同。你需要编辑的是:

sudo nano /etc/pam.d/common-password
  • 1.

在这里,你可以根据需要调整密码策略参数,确保密码符合安全标准。

注意:在使用该功能之前先要确定系统是否安装了该模块。

配置项说明

password requisite pam_pwquality.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1
  • 1.

password 表示这个PAM模块是用于密码验证的。

requisite 是PAM模块的控制标志之一,它表示如果这个模块验证失败,接下来的验证流程会被中断,用户将无法继续登录或执行相关操作。password requisite pam_pwquality.so后面添加或修改相关配置就可以了。具体的参数设置,可以参考以下信息:

在大型企业或组织中,单个用户密码的管理可能没有太大挑战,但当面临大量用户时,如何批量配置密码复杂度并确保其符合安全要求就成了一个难题。那么,如何有效地进行批量管理?

通过脚本批量修改PAM配置

为了实现密码策略的高效管理,可以开发一个Shell脚本,利用sed或awk等工具对多个配置文件进行自动化批量更新。这样不仅能够显著提升工作效率,还能确保密码策略在各个系统组件中保持一致性和标准化管理。

以下是一个用于配置密码复杂度的Shell脚本示例:

update_pam_pwquality() {
    # 配置项
    minlen="minlen=8"
    ucredit="ucredit=-2"
    lcredit="lcredit=-1"
    dcredit="dcredit=-4"
    ocredit="ocredit=-1"

    # 判断 Linux 发行版并设置 PAM 配置文件路径
    if [ -f /etc/os-release ]; then
        # 获取发行版名称
        source /etc/os-release
        DISTRO_NAME=$ID

        # 根据发行版选择正确的 PAM 配置文件
        case"$DISTRO_NAME"in
            "centos"|"rhel"|"fedora")
                PAM_FILE="/etc/pam.d/system-auth"
                PACKAGE="libpwquality"
                PKG_MGR="yum"
                ;;
            "ubuntu"|"debian")
                PAM_FILE="/etc/pam.d/common-password"
                PACKAGE="libpam-pwquality"
                PKG_MGR="apt-get"
                ;;
            "arch"|"manjaro")
                PAM_FILE="/etc/pam.d/system-auth"
                PACKAGE="libpwquality"
                PKG_MGR="pacman"
                ;;
            "opensuse")
                PAM_FILE="/etc/pam.d/common-password"
                PACKAGE="libpwquality"
                PKG_MGR="zypper"
                ;;
            *)
                echo"Unsupported distribution: $DISTRO_NAME"
                exit 1
                ;;
        esac
    else
        echo"无法识别发行版,无法确定 PAM 配置文件路径"
        exit 1
    fi

    # 检查并安装 pam_pwquality 模块
    if ! rpm -q "$PACKAGE" >/dev/null 2>&1 && ! dpkg -l "$PACKAGE" >/dev/null 2>&1; then
        echo"正在安装 $PACKAGE..."
        if ! sudo $PKG_MGR install -y "$PACKAGE"; then
            echo"安装 $PACKAGE 失败,请手动安装后重试"
            exit 1
        fi
    fi

    # 备份原始 PAM 配置文件
    BACKUP_FILE="$PAM_FILE.$(date +%Y%m%d%H%M%S)"
    cp -p "$PAM_FILE""$BACKUP_FILE"
    echo"配置文件已备份到 $BACKUP_FILE"

    # 定位到包含 "password.*pam_pwquality.so" 的行
    line_number=$(grep -n "^password.*pam_pwquality.so""$PAM_FILE" | cut -d: -f1)

    if [[ -n "$line_number" ]]; then
        # 获取当前行内容
        current_line=$(sed -n "${line_number}p""$PAM_FILE")

        # 检查并更新 minlen
        if [[ "$current_line" =~ minlen=([0-9]+) ]]; then
            current_minlen="${BASH_REMATCH[1]}"
            if [[ "$current_minlen" != "8" ]]; then
                # 更新 minlen 为 8
                current_line=$(echo"$current_line" | sed "s/minlen=$current_minlen/minlen=8/")
                echo"更新 minlen minlen to 8."
            fi
        else
            # 添加 minlen 配置
            current_line="$current_line $minlen"
            echo"添加 minlen=8."
        fi

        # 检查并更新 ucredit
        if [[ "$current_line" =~ ucredit=(-?[0-9]+) ]]; then
            current_ucredit="${BASH_REMATCH[1]}"
            if [[ "$current_ucredit" != "-2" ]]; then
                # 更新 ucredit 为 -2
                current_line=$(echo"$current_line" | sed "s/ucredit=$current_ucredit/ucredit=-2/")
                echo"更新 ucredit to -2."
            fi
        else
            # 添加 ucredit 配置
            current_line="$current_line $ucredit"
            echo"添加 ucredit=-2."
        fi

        # 检查并更新 lcredit
        if [[ "$current_line" =~ lcredit=(-?[0-9]+) ]]; then
            current_lcredit="${BASH_REMATCH[1]}"
            if [[ "$current_lcredit" != "-1" ]]; then
                # 更新 lcredit 为 -1
                current_line=$(echo"$current_line" | sed "s/lcredit=$current_lcredit/lcredit=-1/")
                echo"更新 lcredit to -1."
            fi
        else
            # 添加 lcredit 配置
            current_line="$current_line $lcredit"
            echo"添加 lcredit=-1."
        fi

        # 检查并更新 dcredit
        if [[ "$current_line" =~ dcredit=(-?[0-9]+) ]]; then
            current_dcredit="${BASH_REMATCH[1]}"
            if [[ "$current_dcredit" != "-4" ]]; then
                # 更新 dcredit 为 -4
                current_line=$(echo"$current_line" | sed "s/dcredit=$current_dcredit/dcredit=-4/")
                echo"更新 dcredit to -4."
            fi
        else
            # 添加 dcredit 配置
            current_line="$current_line $dcredit"
            echo"添加 dcredit=-4."
        fi

        # 检查并更新 ocredit
        if [[ "$current_line" =~ ocredit=(-?[0-9]+) ]]; then
            current_ocredit="${BASH_REMATCH[1]}"
            if [[ "$current_ocredit" != "-1" ]]; then
                # 更新 ocredit 为 -1
                current_line=$(echo"$current_line" | sed "s/ocredit=$current_ocredit/ocredit=-1/")
                echo"更新 ocredit to -1."
            fi
        else
            # 添加 ocredit 配置
            current_line="$current_line $ocredit"
            echo"添加 ocredit=-1."
        fi

        # 用修改后的行替换原文件中的行
        sed -i "${line_number}s|.*|$current_line|""$PAM_FILE"
        echo"Line updated in $PAM_FILE."

    else
        echo"password requisite pam_pwquality.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1" >> "$PAM_FILE"
        echo"密码复杂度-未符合要求-已配置"
    fi
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.
  • 37.
  • 38.
  • 39.
  • 40.
  • 41.
  • 42.
  • 43.
  • 44.
  • 45.
  • 46.
  • 47.
  • 48.
  • 49.
  • 50.
  • 51.
  • 52.
  • 53.
  • 54.
  • 55.
  • 56.
  • 57.
  • 58.
  • 59.
  • 60.
  • 61.
  • 62.
  • 63.
  • 64.
  • 65.
  • 66.
  • 67.
  • 68.
  • 69.
  • 70.
  • 71.
  • 72.
  • 73.
  • 74.
  • 75.
  • 76.
  • 77.
  • 78.
  • 79.
  • 80.
  • 81.
  • 82.
  • 83.
  • 84.
  • 85.
  • 86.
  • 87.
  • 88.
  • 89.
  • 90.
  • 91.
  • 92.
  • 93.
  • 94.
  • 95.
  • 96.
  • 97.
  • 98.
  • 99.
  • 100.
  • 101.
  • 102.
  • 103.
  • 104.
  • 105.
  • 106.
  • 107.
  • 108.
  • 109.
  • 110.
  • 111.
  • 112.
  • 113.
  • 114.
  • 115.
  • 116.
  • 117.
  • 118.
  • 119.
  • 120.
  • 121.
  • 122.
  • 123.
  • 124.
  • 125.
  • 126.
  • 127.
  • 128.
  • 129.
  • 130.
  • 131.
  • 132.
  • 133.
  • 134.
  • 135.
  • 136.
  • 137.
  • 138.
  • 139.
  • 140.
  • 141.
  • 142.
  • 143.
  • 144.
  • 145.
  • 146.
责任编辑:赵宁宁 来源: 攻城狮成长日记
Linux密码PAM
相关推荐
Linux如何设置密码复杂度
对于Linux系统管理员来说,用户管理是最重要的事之一。这涉及到很多因素,实现强密码策略是用户管理的其中一个方面。移步后面的URL查看如何在Linux上生成一个强密码。它会限制系统未授权的用户的访问。

2019-12-24 09:46:00

Linux设置密码
如何用PyTorch进行语义分割?一文搞定
正值PyTorch1.7更新,那么我们这次便给大家带来一个PyTorch简单实用的教程资源:用PyTorch进行语义分割。

2020-11-30 12:32:40

PyTorch语义分割python
一文搞定 Linux 设备树
在Linux2.6中,ARM架构的板极硬件细节过多地被硬编码在archarmplatxxx和archarmmachxxx中,采用设备树后,许多硬件的细节可以直接通过它传递给Linux,而不再需要在内核中进行大量的冗余编码。

2021-10-25 16:01:01

Linux设备树字符串
一文搞定Linux共享内存原理
在Linux系统中,每个进程都有独立的虚拟内存空间,也就是说不同的进程访问同一段虚拟内存地址所得到的数据是不一样的,这是因为不同进程相同的虚拟内存地址会映射到不同的物理内存地址上。

2021-10-06 20:23:08

Linux共享内存
一文搞定JMM核心原理
您可以使用Javasynchronized块。同步块保证在任何给定时间只有一个线程可以进入代码的给定关键部分。同步块还保证在同步块内访问的所有变量都将从主存储器中读入,当线程退出同步块时,所有更新的变量将再次刷新回主存储器,无论变量是不是声明为volatile。

2024-01-09 08:24:47

JMM核心线程
一文搞定 Containerd 的使用
从Docker1.11版本开始,Docker容器运行就不是简单通过DockerDaemon来启动了,而是通过集成containerd、runc等多个组件来完成的。

2021-08-13 05:50:01

ContainerdDockerKubernetes
一文搞定 Perf 和 Gpertools
在Linux下开发是幸福的,尤其是在发生问题的时候。永远忘不了在Windows下应用发生问题时那种无助的感觉。

2021-03-28 18:40:02

LinuxWindowsJava
复杂密码的真相:不仅仅是“复杂度
iCloud明星照片泄露事件之后,专家KeithPalmgren就“如何创建更为有效的密码”给出了建议、以避免数据被轻易泄露。

2014-10-31 09:36:30

算法必备知识:时间复杂度与空间复杂度的计算
我们今天要讲的内容:时间、空间复杂度分析。只要讲到数据结构与算法,就一定离不开时间、空间复杂度分析。复杂度分析是整个算法学习的精髓,只要掌握了它,数据结构和算法的内容基本上就掌握了一半。这就就像内功心法,上乘武功还需搭配心法。

2024-04-25 08:33:25

算法时间复杂度空间复杂度
学习算法必备:时间复杂度与空间复杂度,你了解多少
算法(Algorithm)是指用来操作数据、解决程序问题的一组方法。算法是大厂、外企面试的必备项,也是每个高级程序员的必备技能。针对同一问题,可以有很多种算法来解决,但不同的算法在效率和占用存储空间上的区别可能会很大。

2021-01-05 10:41:42

算法时间空间
一文搞定Java热更新
在持续交付的时代,重新部署一个新的版本只需要点击一下按钮。但在有的情况下,重新部署过程可能比较复杂,停机是不被允许的。所以JVM提供了另外一种选择:在不重启应用的前提下进行小幅改动,又称热更新。

2019-09-23 10:51:14

JavaJava虚拟机Linux
一文给你搞定Elasticsearch技术扫盲
这篇文章,我们来聊一下最近这一两年行业内Java高级工程师面试的时候尤为常见的一个问题:谈谈你对分布式搜索引擎的理解,聊聊他的架构原理?

2022-08-17 18:25:37

Java分布式搜索引擎
一文带你彻底搞定Diff算法
Diff算法实现的是最小量更新虚拟DOM。这句话虽然简短,但是涉及到了两个核心要素:虚拟DOM、最小量更新。虚拟DOM指的就是将真实的DOM树构造为js对象的形式,从而解决浏览器操作真实DOM的性能问题。

2021-08-31 07:02:20

Diff算法DOM
一文破解正则密码
本文目标,带你走进正则世界,作为一篇认真负责的科普文,一定要做到让你们一遍学懂却不会,于是反复来查看。

2022-03-25 21:17:43

正则神经网络元字符
C#基本概念:时间复杂度,空间复杂度,递归与接口
本文介绍了一些C基本概念,包括时间复杂度与空间复杂度,以及递归和接口。

2009-07-09 10:45:16

C#基本概念复杂度递归与接口
面试官:说说你对算法中时间复杂度,空间复杂度的理解?如何计算?
算法(Algorithm)是指用来操作数据、解决程序问题的一组方法。对于同一个问题,使用不同的算法,也许最终得到的结果是一样的,但在过程中消耗的资源和时间却会有很大的区别

2021-09-17 10:44:50

算法复杂度空间
浅谈程序的核心——复杂度
复杂度的要点所在就是程序给大脑带来的负担,它等同于程序员提升和开发程序的难易程度,这个负担随着模块的复杂度大约是平方级数增长。

2015-10-13 09:43:43

复杂度核心
深入分析软件复杂度
选择领域驱动设计,就是要与软件系统的复杂作一番殊死拼搏,以降低软件复杂度为己任。那么,什么才是复杂呢

2018-12-18 10:11:37

软件复杂度软件系统软件开发
代码圈复杂度治理小结
本文作者尝试结合在团队内部的实践,分享下过程中心得,希望对大家的代码圈复杂度治理提供微弱的帮助。

2022-08-16 09:04:23

代码圈圈复杂度节点
降低代码的圈复杂度
0.什么是圈复杂度可能你之前没有听说过这个词,也会好奇这是个什么东西是用来干嘛的,在维基百科上有这样的解释。Cyclomaticcomplexityisasoftwaremetricusedtoindicatethecomplexityofaprogram.Itisaquantitativemeasureofthenumberoflinearlyindependentpathsthroughaprogram'ssourcecode.ItwasdevelopedbyThomasJ.McCabe,Sr.in1976.简单翻译一下就是,...

2020-12-30 09:20:27

代码
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服