linux用戶口令時效

⑴ linux中的幾種安全防護技術

系統安全性對於用戶來說至關重要，Linux用戶也不例外。筆者就自己使用Linux的經歷，總結了一些增強Linux安全
防護的小竅門，在此介紹給大家。
1．為LILO增加開機口令
----在/etc/lilo.conf文件中增加選項，從而使LILO啟動時要求輸入口令，以加強系統的安全性。具體設置如下:
----boot=/dev/hda
----map=/boot/map
----install=/boot/boot.b
----time-out=60 #等待1分鍾
----prompt
----default=linux
----password=
---- #口令設置
----image=/boot/vmlinuz-2.2.14-12
----label=linux
----initrd=/boot/initrd-2.2.14-12.img
----root=/dev/hda6
----read-only
----此時需注意，由於在LILO中口令是以明碼方式存放的，所以還需要將
----lilo.conf的文件屬性設置為只有root可以讀寫。
----# chmod 600 /etc/lilo.conf
----當然，還需要進行如下設置，使
----lilo.conf的修改生效。
----# /sbin/lilo -v
2．設置口令最小長度和
----最短使用時間
----口令是系統中認證用戶的主要手段，系統安裝時默認的口令最小長度通常為5，但為保證口令不易被猜測攻擊，
可增加口令的最小長度，至少等於8。為此，需修改文件/etc/login.defs中參數PASS_MIN_LEN。同時應限制口令使
用時間，保證定期更換口令，建議修改參數PASS_MIN_DAYS。
3．用戶超時注銷
----如果用戶離開時忘記注銷賬戶，則可能給系統安全帶來隱患。可修改/etc/profile文件，保證賬戶在一段時間
沒有操作後，自動從系統注銷。
----編輯文件/etc/profile，在「HISTFILESIZE=」行的下一行增加如下一行:
----TMOUT=600
----則所有用戶將在10分鍾無操作後自動注銷。
4．禁止訪問重要文件
----對於系統中的某些關鍵性文件如inetd.conf、services和lilo.conf等可修改其屬性，防止意外修改和被普通
用戶查看。
----首先改變文件屬性為600:
----# chmod 600 /etc/inetd.conf
----保證文件的屬主為root，然後還可以將其設置為不能改變:
----# chattr +i /etc/inetd.conf
----這樣，對該文件的任何改變都將被禁止。
----只有root重新設置復位標志後才能進行修改:
----# chattr -i /etc/inetd.conf
5．允許和禁止遠程訪問
----在Linux中可通過/etc/hosts.allow 和/etc/hosts.deny 這2個文件允許和禁止遠程主機對本地服務的訪問。
通常的做法是:
----(1)編輯hosts.deny文件，加入下列行:
----# Deny access to everyone.
----ALL: ALL@ALL
----則所有服務對所有外部主機禁止，除非由hosts.allow文件指明允許。
----(2)編輯hosts.allow 文件，可加入下列行:
----#Just an example:
----ftp: 202.84.17.11 xinhuanet.com
----則將允許IP地址為202.84.17.11和主機名為xinhuanet.com的機器作為Client訪問FTP服務。
----(3)設置完成後，可用tcpdchk檢查設置是否正確。
6．限制Shell命令記錄大小
----默認情況下，bash shell會在文件$HOME/.bash_history中存放多達500條命令記錄(根據具體的系統不同，默
認記錄條數不同)。系統中每個用戶的主目錄下都有一個這樣的文件。在此筆者強烈建議限制該文件的大小。
----您可以編輯/etc/profile文件，修改其中的選項如下: HISTFILESIZE=30或HISTSIZE=30
7．注銷時刪除命令記錄
----編輯/etc/skel/.bash_logout文件，增加如下行:
----rm -f $HOME/.bash_history
----這樣，系統中的所有用戶在注銷時都會刪除其命令記錄。
----如果只需要針對某個特定用戶，如root用戶進行設置，則可只在該用戶的主目錄下修改/$HOME/.bash_history
文件，增加相同的一行即可。
8．禁止不必要的SUID程序
----SUID可以使普通用戶以root許可權執行某個程序，因此應嚴格控制系統中的此類程序。
----找出root所屬的帶s位的程序:
----# find / -type f −perm−04000−o−perm−02000 -print |less
----禁止其中不必要的程序:
----# chmod a-s program_name
9．檢查開機時顯示的信息
----Linux系統啟動時，屏幕上會滾過一大串開機信息。如果開機時發現有問題，需要在系統啟動後進行檢查，可輸
入下列命令:
----#dmesg >bootmessage
----該命令將把開機時顯示的信息重定向輸出到一個文件bootmessage中。
10．磁碟空間的維護
----經常檢查磁碟空間對維護Linux的文件系統非常必要。而Linux中對磁碟空間維護使用最多的命令就是df和了。
----df命令主要檢查文件系統的使用情況，通常的用法是:
----#df -k
----Filesystem 1k-blocks Used Available Use% Mounted on
----/dev/hda3 1967156 1797786 67688 96% /
----命令檢查文件、目錄和子目錄佔用磁碟空間的情況，通常帶-s選項使用，只顯示需檢查目錄佔用磁碟空間的總計，
而不會顯示下面的子目錄佔用磁碟的情況。
----% -s /usr/X11R6/*
----34490 /usr/X11R6/bin
----1 /usr/X11R6/doc
----3354 /usr/X11R6/include

⑵ 詳解Linux中的用戶密碼管理命令passwd和change

passwd

修改用戶密碼
參數

-k 保持未過期身份驗證令牌
-l 關閉賬號密碼。效果相當於usermod -L，只有root才有權使用此項。
-u 恢復賬號密碼。效果相當於usermod -U，同樣只有root才有權使用。
-g 修改組密碼。gpasswd的等效命令。
-f 更改由finger命令訪問的用戶信息。
-d 關閉使用者的密碼認證功能, 使用者在登入時將可以不用輸入密碼, 只有具備 root 許可權的使用者方可使用.
-S 顯示指定使用者的密碼認證種類, 只有具備 root 許可權的使用者方可使用.

passwd 是個文本文件, 它包含了一個系統帳戶列表, 給出每個帳戶一些有用的信息，比如用戶 ID,組 ID, 家目錄, shell,等. 通常它也包含了每個用戶經過加密的密碼. 它通常應該是可讀的（許多命令，工具程序，象 ls (1) 用它做用戶 Id 到用戶名稱的映射）,但是只允許超級用戶有寫方式許可權.

在過去美好的日子裡，這種一般的讀許可沒有什麼大問題. 每個人都能讀到加密了的密碼，因為硬體太慢以至於不能解開一個 精選的密碼，另外，這基本假定是為友好的使用團體使用的. 現在，許多人運行一些版本的影子密碼套件，它們在 /etc/passwd 的密碼域里是 *，而不再是加密的口令， 加密的口令放在 /etc/shadow 中，那個文件只有超級用戶能讀．
不管是否使用了影子密碼，許多系統管理員使用一個星號在加密的密碼欄位 以確保用戶不能鑒別他（她）自己的密碼. (見下面的注意)
如果你建立了一個新的登錄，首先放個星號在密碼欄位, 然後使用 passwd(1) 設置它.
（密碼文件）里每行一條記錄，並且每行有這樣的格式：

account
password:UID:GID:GECOS:directory:shell （帳號:密碼:用戶ID:組ID:一般的信息:目錄:shell）

欄位描述如下:

account
使用者在系統中的名字，它不能包含大寫字母.
password
加密的用戶密碼，或者星號。
UID
用戶 ID 數。
GID
用戶的主要組 ID 數。
GECOS
這欄位是可選的，通常為了存放信息目的而設的． 通常，它包含了用戶的全名. GECOS 意思是通用電氣綜合操作系統（General Electric Comprehensive Operating System）, 當 GE 的大型系統部分割售賣給 Honeywell 時它被改為 GCOS. Dennis Ritchie 作過報告：有時我們發送印刷品或批道作業到 GCOS機器時，gcos 欄位打斷了 $IDENT 卡的信息，不太美觀。（譯者：我想是太長吧）
directory
用戶的 $HOME 目錄.
shell
登錄時運行的程序（如果空的，使用 /bin/sh). 如果設為不存在的執行（程序），用戶不能通過 login(1) 登錄.

注意
如果你想建立用戶組，他們的 GID 必須相等並且一定是在 /etc/group 的一條記錄, 要不然組就不存在．
如果加密密碼設成星號，用戶將不能用 login(1) 來登錄, 但依然可以用 rlogin(1) 登錄, 通過 rsh(1) 或者 cron(1) 或者 at(1) 或者 mail 過濾器等程序運行已有的進程和開始新的等. 試圖通過簡單改變 shell
欄位鎖住一個用戶結果是一樣的， 而且還附上了使用 su(1) 的許可權．

例：

復制代碼

代碼如下:

[root@Blackghost ~] passwd zhangying #給zhangying修改密碼

chage
密碼失效是通過此命令來管理的。

參數意思：
-m 密碼可更改的最小天數。為零時代表任何時候都可以更改密碼。
-M 密碼保持有效的最大天數。
-W 用戶密碼到期前，提前收到警告信息的天數。
-E 帳號到期的日期。過了這天，此帳號將不可用。
-d 上一次更改的日期
-I 停滯時期。如果一個密碼已過期這些天，那麼此帳號將不可用。
-l 例出當前的設置。由非特權用戶來確定他們的密碼或帳號何時過期。

例1:

復制代碼

代碼如下:

[root@localhost ~]# chage -l zhangy #查看用戶密碼設定情況

最近一次密碼修改時間 ： 4月 27, 2013
密碼過期時間 ： 從不
密碼失效時間 ： 從不
帳戶過期時間 ： 從不
兩次改變密碼之間相距的最小天數 ：-1
兩次改變密碼之間相距的最大天數 ：-1
在密碼過期之前警告的天數 ：-1

復制代碼

代碼如下:

[root@localhost ~]# chage -M 90 zhangy #密碼有效期90天

復制代碼

代碼如下:

[root@localhost ~]# chage -d 0 zhangy #強制用戶登陸時修改口令

復制代碼

代碼如下:

[root@localhost ~]# chage -d 0 -m 0 -M 90 -W 15 zhangy #強制用戶下次登陸時修改密碼，並且設置密碼最低有效期0和最高有限期90，提前15天發警報提示

例2:

復制代碼

代碼如下:

# chage -E 񟭎-09-30' test # test這個賬號的有效期是2014-09-30

⑶ 虛擬機里的linux系統怎麼修改用戶的密碼位數，也就是密碼策略

如果你只是要修改一個用戶的密碼
你可以使用root用戶來對其進行修改

直接執行命令

passwd
用戶名

然後就可以設置密碼了

如果你是全局的限定

修改/etc/login.defs裡面的PASS_MIN_LEN的值。比如限制用戶最小密碼長度是4：
PASS_MIN_LEN
4

⑷ 如何設置Linux系統用戶口令使用期限

如果你說的是系統用戶的密碼到期時間的話,可以用chage來修改 chage -l root 用來查看系統用戶的到期時間

⑸ 如何設置Linux系統用戶口令使用期限

如果你說的是系統用戶的密碼到期時間的話，可以用chage來修改
chage -l root
用來查看系統用戶的到期時間

⑹ Linux PAM的system-auth只能對非root用戶生效，那麼如何對root密碼做強度限制呢

chage：密碼失效是通過此命令來管理的。
參數意思：
-m 密碼可更改的最小天數。為零時代表任何時候都可以更改密碼。
-M 密碼保持有效的最大天數。
-W 用戶密碼到期前，提前收到警告信息的天數。
-E 帳號到期的日期。過了這天，此帳號將不可用。
-d 上一次更改的日期
-I 停滯時期。如果一個密碼已過期這些天，那麼此帳號將不可用。
-l 例出當前的設置。由非特權用戶來確定他們的密碼或帳號何時過期。

例1
[root@localhost ~]# chage -l zhangy #查看用戶密碼設定情況
最近一次密碼修改時間 ： 4月 27, 2013
密碼過期時間 ： 從不
密碼失效時間 ： 從不
帳戶過期時間 ： 從不
兩次改變密碼之間相距的最小天數 ：-1
兩次改變密碼之間相距的最大天數 ：-1
在密碼過期之前警告的天數 ：-1

[root@localhost ~]# chage -M 90 zhangy #密碼有效期90天

[root@localhost ~]# chage -d 0 zhangy #強制用戶登陸時修改口令

[root@localhost ~]# chage -d 0 -m 0 -M 90 -W 15 zhangy #強制用戶下次登陸時修改密碼，並且設置密碼最低有效期0和最高有限期90，提前15天發警報提示

例2

# chage -E '2014-09-30' test # test這個賬號的有效期是2014-09-30

( 參考http://linux.51yip.com/search/chage）

⑺ 如何強制定期更改Linux操作系統密碼

口令時效是一種系統機制，用於強制口令在特定的時間長度後失效。對用戶來說，這可能帶來了一些麻煩，但是它確保了口令會定期進行更改，是一項很好的安全措施。默認情況下，絕大多數的Linux分裝版本並沒有打開口令時效，不過要想打開卻非常簡單。 通過編輯/etc/login.defs，你可以指定幾個參數，來設置口令實效的默認設定: PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_WARN_AGE 7當設置口令時效的天數為99999時，實際上相當於關閉了口令時效。一個更明智的設定一般是60天——每2個月強制更改一次密碼。 PASS_MIN_DAYS參數則設定了在本次密碼修改後，下次允許更改密碼之前所需的最少天數。PASS_WARN_AGE的設定則指明了在口令失效前多少天開始通知用戶更改密碼（一般在用戶剛剛登陸系統時就會收到警告通知）。你也會編輯/etc/default/useradd文件，尋找INACTIVE和EXPIRE兩個關鍵詞： INACTIVE=14 EXPIRE=這會指明在口令失效後多久時間內，如果口令沒有進行更改，則將賬戶更改為失效狀態。在本例中，這個時間是14天。而EXPIRE的設置則用於為所有新用戶設定一個密碼失效的明確時間（具體格式為「年份-月份-日期」）。 顯然，上述這些設定更改之後，只能影響到新建立的用戶。要想修改目前已存在的用戶具體設置，需要使用chage工具。 # chage -M 60 joe這條命令將設置用戶joe的PASS_MAX_DAYS為60，並修改對應的shadow文件。你可以使用chage -l的選項，列出當前的賬戶時效情況，而使用-m選項是設置PASS_MIN_DAYS， 用-W則是設置PASS_WARN_AGE，等等。chage工具可以讓你修改特定賬戶的所有密碼時效狀態。 注意，chage僅僅適用於本地系統的賬戶，如果你在使用一個類似LDAP這樣的認證系統時，該工具會失效。如果你在使用LDAP作為認證，而你又打算使用chage，那麼，哪怕僅僅是試圖列出用戶密碼的時效信息，你也會發現chage根本不起作用。 制定一項策略，定義多長時間一個密碼必須進行更改，然後強制執行該策略，是非常不錯的一個做法。在解僱了某個雇員後，口令時效策略會保證該雇員不可能在被解僱3個月後發現他的口令依然可用。即使系統管理員忽略了刪除他的帳號，該帳號也會因密碼時效策略而被自動鎖定。當然，這一點並不能成為不及時刪除該雇員帳號的理由，但是這個策略的確提供了一層額外的安全防護，尤其是在過去常常忽視及時清理帳號的情況下。 （T115）