pam密码复杂度设置

pam密码复杂度设置

1.安装libpam_cracklib

     系统对密码的控制是有两部分组成：
     1 cracklib
      2 /etc/login.defs

     apt-get install lib_cracklib或者下载两个deb包：cracklib-runtime     libpam_cracklib

     可以通过查找pam_cracklib.so的存在来检车是否安装

2.密码长度及密码复杂度

  vi  /etc/pam.d/common-password

 在password requisite pam_cracklib.so  后面添加

 retry=3 difok=3 minlen=8 #表示输入允许三次，新密码与旧密码不同的个数为三个，密码设置至少8-n次  n指的是密码类型数

ucredit=-1  lcredit=-1  dcredit=-1  ocredit=-1  #表示密码设置时至少含一个大写字母，一个小写字母，一个数字，一个符号  但是按照需求至少含有两种字符的组合，则只要在后面添加 minclass=2

3.登录失败锁定用户和解锁

执行 vi /etc/pam.d/login  

顶行新起一行，加入 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

如果不限制root用户，则可以写成auth required pam_tally2.so deny=3 unlock_time=5

以上方法是针对tty1

但是如果要对lubuntu图形界面进行锁定的话：

执行 vi /etc/pam.d/lightdm  

在#%PAM1.0下新起一行，加入 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

以上方法是无法解锁

所以小渣又找了新方法

在#%PAM1.0下新起一行，加入auth required pam_tally.so deny=3 onerr=fail lock_time=300

解除锁定的方法

在服务器端以root用户登录

执行命令

faillog -a  查看用户登录错误次数

如果超过n次的话，用户不能登录并且此后登录用户错误登录次数还是会增加

在登录错误次数不满三次时，登录成功后，则这个用户登录错误值将清零，退出后重新ssh登录将采用新的计数

faillog -u user -r #清空指定用户user的错误登录次数

faillog -r #清空所有用户错误登录次数

手动锁定和解锁

usermod -L 用户名  锁定

usermod -U 用户名  解锁