密碼策略

修改密碼過期策略

修改/etc/login.defs文件，控制密碼的有效期

# 密碼最長過期天數(shù)
PASS_MAX_DAYS   90  
# 密碼最小過期天數(shù)
PASS_MIN_DAYS   0 
# 密碼最小長度
PASS_MIN_LEN    16  
# 密碼過期警告天數(shù)
PASS_WARN_AGE   7   

查看密碼策略

chage -l 用戶名

$ chage -l | root

# 最近修改密碼時間
Last password change    : Jan 24, 2018
# 密碼過期時間
Password expires        : never
# 密碼失效時間
Password inactive       : never
# 
Account expires         : never
# 兩次改變密碼之間間距的最小天數(shù)
Minimum number of days between password change      : 0
# 兩次改變密碼之間間距的最大天數(shù)
Maximum number of days between password change      : 99999
# 在密碼過期之前警告的天數(shù)
Number of days of warning before password expires   : 7

修改密碼復雜度策略

控制密碼復雜度，需已安裝pam_cracklib，centos已默認安裝

修改/etc/etc/pam.d/system-auth文件，添加如下語句，需放置在最前面，否則可能不生效

password    requisite     pam_cracklib.so retry=5  difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict

參數(shù)說明

登錄失敗策略

Linux登錄失敗

IP白名單策略

1 修改/etc/hosts.allow文件，增加允許通過SSH連接的客戶端IP

# 單個IP
sshd:119.137.2.243
# IP地址段
sshd:119.137.2.

2 修改/etc/hosts.deny文件，增加禁止通過SSH連接的客戶端IP

# 禁止所有IP
sshd:ALL
# 禁止telnet
in.telnetd:ALL

3 重啟sshd服務和xinetd(可選)服務，使之生效

service sshd restart
service xinetd restart

如果hosts.allow和hosts.deny文件均包含同一ip，則以hosts.all文件為準，如果只是單獨配置了hosts.all文件，并沒有在hosts.deny文件禁止，依然不生效

https://www.fank243.com/posts/c6c26810.html