密碼策略介紹

密碼策略是操作系統(tǒng)針對系統(tǒng)安全提供的一種安全機制，就好像linux操作系統(tǒng)不提供超級用戶登錄一樣，密碼策略包括：密碼最小長度、密碼使用期限、歷史密碼、密碼復(fù)雜度等，在企業(yè)里面都是要求對操作系統(tǒng)進行密碼策略進行配置的，而且要求密碼復(fù)雜度。企業(yè)中做等級保護測評2級以上都是要求有密碼策略的，之前我有過一次做等保測評師的經(jīng)歷，在企業(yè)里面幾乎沒有任何一個企業(yè)在使用這個密碼策略，很郁悶不知道是工程師們不知道還是什么原因，在這里我就為大家簡單介紹一下如何設(shè)置密碼策略

根據(jù)相關(guān)要求密碼需要滿足以下幾點要求:

創(chuàng)新互聯(lián)致力于互聯(lián)網(wǎng)品牌建設(shè)與網(wǎng)絡(luò)營銷，包括網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、SEO優(yōu)化、網(wǎng)絡(luò)推廣、整站優(yōu)化營銷策劃推廣、電子商務(wù)、移動互聯(lián)網(wǎng)營銷等。創(chuàng)新互聯(lián)為不同類型的客戶提供良好的互聯(lián)網(wǎng)應(yīng)用定制及解決方案，創(chuàng)新互聯(lián)核心團隊十多年專注互聯(lián)網(wǎng)開發(fā)，積累了豐富的網(wǎng)站經(jīng)驗，為廣大企業(yè)客戶提供一站式企業(yè)網(wǎng)站建設(shè)服務(wù)，在網(wǎng)站建設(shè)行業(yè)內(nèi)樹立了良好口碑。

• 用戶有責(zé)任和義務(wù)妥善保管其個人帳號和密碼，不得在任何場合隨意公開自己的帳號和密碼，不得泄漏他人。由于密碼泄漏造成的不良后果由帳號擁有人承擔相關(guān)責(zé)任

• 密碼長度不得少于6位

• 密碼由數(shù)字、標點、大小寫字母和特殊符號組成，并具有必要的組合復(fù)雜度，禁止使用連續(xù)或相同的數(shù)字、字母組合（如123456等）和其他易于破譯的組合作為密碼。

• 密碼不得以任何形式的明文存放在主機電子文檔中，不得以明文形式在電子郵件、傳真中傳播。

• 系統(tǒng)管理人員在建立帳號時，對所分配帳號的初始密碼設(shè)置為第一次登錄強制修改。對于不能強制修改密碼的系統(tǒng)，系統(tǒng)管理員創(chuàng)建帳號后立即通知用戶修改密碼，用戶在第一次登錄系統(tǒng)并修改密碼之后反饋系統(tǒng)管理員，并由系統(tǒng)管理員進行復(fù)核。

• 用戶應(yīng)定期（至少每季度一次）進行密碼的修改，并且同一密碼不能反復(fù)使用。

????。。。。。。。。。。。。。。等，具體要求可以查看等保2.0密碼技術(shù)應(yīng)用分析

?windows設(shè)置密碼策略?

windows密碼策略有以下這些設(shè)置：

• 密碼必須符合復(fù)雜性要求

• 密碼長度最小值

• ?密碼最短使用期限

• 密碼最長使用期限

• 強制密碼歷史

• 用可還原的加密存儲密碼

接下來對這些配置進行修改

打開管理工具

打開本地安全策略-賬戶策略-密碼策略

然后就可以根據(jù)自己的需求去進行調(diào)整，下面是我推薦大家進行設(shè)置的，僅供參考

Linux系統(tǒng)設(shè)置密碼策略

對于linux可能大家都很少知道有密碼策略這回事吧，好多人都認為linux安全機制已經(jīng)很強大了，而且大多數(shù)linux采用可插拔密碼認證來加強密碼的安全策略，下面就來說說linux的密碼策略，linux密碼策略要比windows密碼策略要強大許多

linux密碼策略有以下設(shè)置：

• 密碼的最大有效期

• 密碼最長使用時間

• 密碼最小長度

• 密碼失效前提前多少天進行提醒

• 密碼大小寫以及數(shù)字、特殊字符等限制

• 新舊密碼不能相同

• 新舊密碼長度不能相同

• 賬號鎖定時間

• 賬號自動解鎖時間

密碼策略配置文件路徑：

• 在centos/redhat等系統(tǒng)中路徑：/etc/pam.d/system-auth

• ubuntu等系統(tǒng)中路徑：/etc/pam.d/common-password

文件內(nèi)容如下：（版本不同，內(nèi)容有一些差別）

# /etc/pam.d/common-password - password-related modules common to all services
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
# used to change user passwords. ?The default is pam_unix.

# Explanation of pam_unix options:
# The "sha512" option enables salted SHA512 passwords. ?Without this option,
# the default is Unix crypt. ?Prior releases used the option "md5".
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs.
# See the pam_unix manpage for other options.

# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. ?See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
password ? ? ? ?[success=1 default=ignore] ? ? ?pam_unix.so obscure sha512
# here's the fallback if no module succeeds
password ? ? ? ?requisite ? ? ? ? ? ? ? ? ? ? ? pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password ? ? ? ?required ? ? ? ? ? ? ? ? ? ? ? ?pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

密碼過期時間以及有效期等配置文件：/etc/login.defs，文件部分內(nèi)容：

PASS_MAX_DAYS：一個密碼可使用的最大天數(shù)。

PASS_MIN_DAYS：兩次密碼修改之間最小的間隔天數(shù)。

PASS_MIN_LEN：密碼最小長度。

PASS_WARN_AGE：密碼過期前給出警告的天數(shù)

下面為大家舉例說明linux用戶密碼策略：

• 設(shè)置密碼最大使用時間（PASS_MAX_DAYS）

這個用來限制密碼最大可以使用的天數(shù)。時間到了會強制進行密碼鎖定。如果忘記修改，那么就無法登錄系統(tǒng)。需要使用管理員賬戶進行解鎖后才能繼續(xù)使用。這個可以在?/etc/login.defs?文件中的PASS_MAX_DAYS參數(shù)設(shè)置。在企業(yè)中一般把這個值設(shè)置為30天，也就是一個月修改一次密碼。

root@test:/etc#? vim login.defs

PASS_MAX_DAYS? 30? ? ? ? ?//單位為天數(shù)

• 設(shè)置密碼最小天數(shù)（PASS_MIN_DAYS）

這個是限制多長時間無法進行密碼修改。當值為15時，表示15天內(nèi)無法修改密碼，也就是兩次密碼修改中間最少隔15天，這個可以在?/etc/login.defs?文件中PASS_MIN_DAYS參數(shù)設(shè)置。企業(yè)中一般不對此項進行控制，這個根據(jù)自己需求進行修改，我這里設(shè)置10天。

root@test:/etc#? vim login.defs

PASS_MIN_DAYS? ? 10? ? ? ? ? ? //單位為天數(shù)

• 設(shè)置密碼過期前警告（PASS_WARN_AGE）

這個用來提醒用戶該進行密碼修改了，也就是在密碼即將過期的時候，會給用戶一個警告提示，在未到最大密碼使用時間，會每天進行提醒，這可以提醒用戶在密碼過期前修改他們的密碼，否則我們就需要聯(lián)系管理員來解鎖密碼。這個可以在?/etc/login.defs?文件中PASS_WARN_AGE參數(shù)設(shè)置。?這個企業(yè)中一般設(shè)置為3天，我這里就設(shè)置為3天

root@test:/etc#? vim login.defs

PASS_WARN_AGE? ? ?3? ? ? ? ? ?//單位為天數(shù)

• 避免重復(fù)使用舊密碼

這個用來防止更改密碼時設(shè)置為舊密碼，尋找同時包含“password”和"pam_unix.so"的行，然后再這行后面加上“remember=天數(shù)”。這將防止N個最近使用過的密碼被用來設(shè)置為新密碼，這個配置文件是在 /ect/pam.d/common-password 文件中（主要，centos/redhat需要修改：/etc/pam.d/system-auth文件），這個在企業(yè)中一般設(shè)置為5，我這里就設(shè)置5

ubuntu：

root@test/etc# vim?pam.d/common-password

password ? ? ? ?[success=1 default=ignore] ? ? ?pam_unix.so obscure sha512? ?remember=5

centos/redhat:

root@test/etc# vim? pam.d/common-password

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

• 設(shè)置密碼復(fù)雜度

這個用來控制密碼的復(fù)雜程度的，應(yīng)安全性要求，企業(yè)里面要求大小寫、特殊字符、數(shù)字等最受三個進行組合并且長度最少為8。尋找同時包含“password”和“pam_cracklib.so”的一行，并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。這將迫使你在密碼中至少包括一個大寫字母、兩個小寫字母、一個數(shù)字和一個符號。

ubuntu:

root@test/etc# vim?pam.d/common-password

password ? ? ? ?requisite? ?? pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

centos/redhat:

root@test/etc# vim?pam.d/system-auth

password ? ? ? ?requisite? ?? pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1