在CentOS系统中创建强密码是系统安全的基础防线。以下是专业级的密码策略实施方案:
一、密码复杂度技术规范 1. 长度要求(通过pam_pwquality模块实现): - 修改/etc/security/pwquality.conf:
minlen = 12
minclass = 3 # 至少包含3种字符类型(小写、大写、数字、符号)
dcredit = -1 # 至少1位数字
ucredit = -1 # 至少1位大写字母
ocredit = -1 # 至少1位特殊符号
lcredit = -1 # 至少1位小写字母
/etc/pam.d/system-auth 添加:
remember = 5 # 记住最近5个密码
二、密码时效策略(/etc/login.defs):
PASS_MAX_DAYS 90
PASS_MIN_DAYS 7
PASS_WARN_AGE 14
PASS_MIN_LEN 12
三、企业级密码生成方案 1. 使用OpenSSL生成高强度密码:
openssl rand -base64 16 | tr -d '/+=\n' | cut -c1-12
pwgen -s -y -n -c 14 1
参数说明: -s:安全随机密码 -y:包含特殊符号 -n:包含数字 -c:包含大写字母
四、Active Directory集成环境下的增强策略 1. 使用sssd配置密码复杂度:
/etc/sssd/sssd.conf添加:
[pwd]
min_password_length = 12
password_complexity = on
五、密码策略强制实施 1. 使用cracklib-check实时检测:
echo "拟用密码" | cracklib-check
sudo john --show /etc/shadow | grep -v 'no password'
六、特权账户特殊策略 1. 为sudo用户设置更高标准:
/etc/sudoers.d/password_policy:
Defaults passwd_tries=3
Defaults badpass_message="密码不符合安全策略:需12位且含大小写/数字/符号"
七、审计与监控 1. 记录密码修改事件:
auditctl -w /etc/shadow -p wa -k shadow_file
grep 'password' /var/log/secure
八、进阶防护措施 1. 安装libpam-google-authenticator实现双因素认证:
yum install google-authenticator
pam-auth-update # 启用Google Authenticator模块
ENCRYPT_METHOD SHA512
企业实施建议: 1. 配合Ansible等工具批量部署密码策略 2. 定期使用lynis进行安全审计 3. 重要系统考虑部署Kerberos认证体系 4. 对SSH服务启用证书认证+密码的复合认证
注意:实施前应在测试环境验证,避免因策略过严导致系统锁定。生产环境建议配合集中式身份管理系统(如FreeIPA)实施。