linux口令保留策略怎么看

linux口令保留策略怎么看详细介绍

在 Linux 系统中，查看口令保留策略（密码策略）主要涉及系统配置文件和命令行工具的使用。以下是具体方法和关键信息：

一、核心配置文件解析

1.
密码有效期与基础规则

• 配置文件：/etc/login.defs
  • 参数说明：
    • PASS_MAX_DAYS：密码最大有效期（天），例如设置为 90 天强制修改。
    • PASS_MIN_DAYS：两次修改密码的最短间隔天数，0 表示无限制。
    • PASS_MIN_LEN：密码最小长度（受 PAM 模块影响）。
    • PASS_WARN_AGE：密码过期前警告天数，如提前 7 天提示。

  • 查看方法：bash

     /etc/login.defs   
    
    

2.
密码复杂度规则

• 配置文件：/etc/security/pwquality.conf（主流发行版）或/etc/security/password.conf（部分系统）。
  • 参数说明：
    • minlen：密码最小长度，如 12 字符。
    • minclass：必须包含的字符类别数（如大写、小写、数字、特殊字符）。
    • ucredit=-1：必须包含至少 1 个大写字母（负数表示强制存在）。
    • dcredit=-1：必须包含至少 1 个数字。

  • 查看方法：bash

     /etc/security/pwquality.conf
    
     /etc/security/pwquality.conf
    

3.
PAM 模块配置

• 配置文件：
  • Red Hat/CentOS 系：/etc/pam.d/system-auth
  • Debian/Ubuntu 系：/etc/pam.d/common-password
  • 关键配置：bash

     pam_pwquality.so /etc/pam.d/system-auth
    
    
    

  • 参数含义：
    • enforce_for_root：强制对 root 用户生效。
    • reject_username：禁止密码包含用户名。

二、查看用户级密码策略

1.
单用户密码状态

使用chage命令查看指定用户的密码有效期、警告期等：
bash

chage  username


最近一次密码修改时间 ：5月 , 
密码过期时间 ：8月 , 
两次改变密码之间相距的最小天数 ：0
两次改变密码之间相距的最大天数 ：90
在密码过期之前警告的天数 ：7

2.
密码历史记录

• 配置文件：/etc/security/pwhistory.conf（若存在）或通过 PAM 模块配置。
• 查看方法：
  • 检查pam_pwhistory模块是否启用：bash

     pam_pwhistory.so /etc/pam.d/system-auth
    
    
    

  • 表示禁止使用最近 5 次的旧密码。

三、验证策略生效情况

1. 测试密码复杂度：
   bash

        testuser
   
   
   

2. 监控日志：
   bash

     /var/log/auth.log
   
   
   

四、不同发行版的差异

• Red Hat/CentOS：
  • 密码复杂度由pam_pwquality.so模块控制，配置在/etc/security/pwquality.conf和/etc/pam.d/system-auth。

• Debian/Ubuntu：
  • 主要通过/etc/pam.d/common-password和/etc/security/pwquality.conf配置。

• 其他系统：
  • 如 SUSE 可能使用/etc/security/pam.conf，需参考对应文档。

五、注意事项

1. 配置优先级：
   • pam_pwquality.so模块的参数优先级高于pwquality.conf文件。
   • login.defs的配置仅对新用户生效，已有用户需通过chage命令手动调整。

2. root 用户策略：
   • 默认情况下，部分策略对 root 用户不生效，需显式添加enforce_for_root参数。

通过以上方法，您可以全面查看 Linux 系统的口令保留策略，并根据安全需求进行调整。建议定期审查配置文件和日志，确保策略有效执行。