linux用户口令时效

⑴ linux中的几种安全防护技术

系统安全性对于用户来说至关重要，Linux用户也不例外。笔者就自己使用Linux的经历，总结了一些增强Linux安全
防护的小窍门，在此介绍给大家。
1．为LILO增加开机口令
----在/etc/lilo.conf文件中增加选项，从而使LILO启动时要求输入口令，以加强系统的安全性。具体设置如下:
----boot=/dev/hda
----map=/boot/map
----install=/boot/boot.b
----time-out=60 #等待1分钟
----prompt
----default=linux
----password=
---- #口令设置
----image=/boot/vmlinuz-2.2.14-12
----label=linux
----initrd=/boot/initrd-2.2.14-12.img
----root=/dev/hda6
----read-only
----此时需注意，由于在LILO中口令是以明码方式存放的，所以还需要将
----lilo.conf的文件属性设置为只有root可以读写。
----# chmod 600 /etc/lilo.conf
----当然，还需要进行如下设置，使
----lilo.conf的修改生效。
----# /sbin/lilo -v
2．设置口令最小长度和
----最短使用时间
----口令是系统中认证用户的主要手段，系统安装时默认的口令最小长度通常为5，但为保证口令不易被猜测攻击，
可增加口令的最小长度，至少等于8。为此，需修改文件/etc/login.defs中参数PASS_MIN_LEN。同时应限制口令使
用时间，保证定期更换口令，建议修改参数PASS_MIN_DAYS。
3．用户超时注销
----如果用户离开时忘记注销账户，则可能给系统安全带来隐患。可修改/etc/profile文件，保证账户在一段时间
没有操作后，自动从系统注销。
----编辑文件/etc/profile，在“HISTFILESIZE=”行的下一行增加如下一行:
----TMOUT=600
----则所有用户将在10分钟无操作后自动注销。
4．禁止访问重要文件
----对于系统中的某些关键性文件如inetd.conf、services和lilo.conf等可修改其属性，防止意外修改和被普通
用户查看。
----首先改变文件属性为600:
----# chmod 600 /etc/inetd.conf
----保证文件的属主为root，然后还可以将其设置为不能改变:
----# chattr +i /etc/inetd.conf
----这样，对该文件的任何改变都将被禁止。
----只有root重新设置复位标志后才能进行修改:
----# chattr -i /etc/inetd.conf
5．允许和禁止远程访问
----在Linux中可通过/etc/hosts.allow 和/etc/hosts.deny 这2个文件允许和禁止远程主机对本地服务的访问。
通常的做法是:
----(1)编辑hosts.deny文件，加入下列行:
----# Deny access to everyone.
----ALL: ALL@ALL
----则所有服务对所有外部主机禁止，除非由hosts.allow文件指明允许。
----(2)编辑hosts.allow 文件，可加入下列行:
----#Just an example:
----ftp: 202.84.17.11 xinhuanet.com
----则将允许IP地址为202.84.17.11和主机名为xinhuanet.com的机器作为Client访问FTP服务。
----(3)设置完成后，可用tcpdchk检查设置是否正确。
6．限制Shell命令记录大小
----默认情况下，bash shell会在文件$HOME/.bash_history中存放多达500条命令记录(根据具体的系统不同，默
认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。在此笔者强烈建议限制该文件的大小。
----您可以编辑/etc/profile文件，修改其中的选项如下: HISTFILESIZE=30或HISTSIZE=30
7．注销时删除命令记录
----编辑/etc/skel/.bash_logout文件，增加如下行:
----rm -f $HOME/.bash_history
----这样，系统中的所有用户在注销时都会删除其命令记录。
----如果只需要针对某个特定用户，如root用户进行设置，则可只在该用户的主目录下修改/$HOME/.bash_history
文件，增加相同的一行即可。
8．禁止不必要的SUID程序
----SUID可以使普通用户以root权限执行某个程序，因此应严格控制系统中的此类程序。
----找出root所属的带s位的程序:
----# find / -type f −perm−04000−o−perm−02000 -print |less
----禁止其中不必要的程序:
----# chmod a-s program_name
9．检查开机时显示的信息
----Linux系统启动时，屏幕上会滚过一大串开机信息。如果开机时发现有问题，需要在系统启动后进行检查，可输
入下列命令:
----#dmesg >bootmessage
----该命令将把开机时显示的信息重定向输出到一个文件bootmessage中。
10．磁盘空间的维护
----经常检查磁盘空间对维护Linux的文件系统非常必要。而Linux中对磁盘空间维护使用最多的命令就是df和了。
----df命令主要检查文件系统的使用情况，通常的用法是:
----#df -k
----Filesystem 1k-blocks Used Available Use% Mounted on
----/dev/hda3 1967156 1797786 67688 96% /
----命令检查文件、目录和子目录占用磁盘空间的情况，通常带-s选项使用，只显示需检查目录占用磁盘空间的总计，
而不会显示下面的子目录占用磁盘的情况。
----% -s /usr/X11R6/*
----34490 /usr/X11R6/bin
----1 /usr/X11R6/doc
----3354 /usr/X11R6/include

⑵ 详解Linux中的用户密码管理命令passwd和change

passwd

修改用户密码
参数

-k 保持未过期身份验证令牌
-l 关闭账号密码。效果相当于usermod -L，只有root才有权使用此项。
-u 恢复账号密码。效果相当于usermod -U，同样只有root才有权使用。
-g 修改组密码。gpasswd的等效命令。
-f 更改由finger命令访问的用户信息。
-d 关闭使用者的密码认证功能, 使用者在登入时将可以不用输入密码, 只有具备 root 权限的使用者方可使用.
-S 显示指定使用者的密码认证种类, 只有具备 root 权限的使用者方可使用.

passwd 是个文本文件, 它包含了一个系统帐户列表, 给出每个帐户一些有用的信息，比如用户 ID,组 ID, 家目录, shell,等. 通常它也包含了每个用户经过加密的密码. 它通常应该是可读的（许多命令，工具程序，象 ls (1) 用它做用户 Id 到用户名称的映射）,但是只允许超级用户有写方式权限.

在过去美好的日子里，这种一般的读许可没有什么大问题. 每个人都能读到加密了的密码，因为硬件太慢以至于不能解开一个 精选的密码，另外，这基本假定是为友好的使用团体使用的. 现在，许多人运行一些版本的影子密码套件，它们在 /etc/passwd 的密码域里是 *，而不再是加密的口令， 加密的口令放在 /etc/shadow 中，那个文件只有超级用户能读．
不管是否使用了影子密码，许多系统管理员使用一个星号在加密的密码字段 以确保用户不能鉴别他（她）自己的密码. (见下面的注意)
如果你建立了一个新的登录，首先放个星号在密码字段, 然后使用 passwd(1) 设置它.
（密码文件）里每行一条记录，并且每行有这样的格式：

account
password:UID:GID:GECOS:directory:shell （帐号:密码:用户ID:组ID:一般的信息:目录:shell）

字段描述如下:

account
使用者在系统中的名字，它不能包含大写字母.
password
加密的用户密码，或者星号。
UID
用户 ID 数。
GID
用户的主要组 ID 数。
GECOS
这字段是可选的，通常为了存放信息目的而设的． 通常，它包含了用户的全名. GECOS 意思是通用电气综合操作系统（General Electric Comprehensive Operating System）, 当 GE 的大型系统部分割售卖给 Honeywell 时它被改为 GCOS. Dennis Ritchie 作过报告：有时我们发送印刷品或批道作业到 GCOS机器时，gcos 字段打断了 $IDENT 卡的信息，不太美观。（译者：我想是太长吧）
directory
用户的 $HOME 目录.
shell
登录时运行的程序（如果空的，使用 /bin/sh). 如果设为不存在的执行（程序），用户不能通过 login(1) 登录.

注意
如果你想建立用户组，他们的 GID 必须相等并且一定是在 /etc/group 的一条记录, 要不然组就不存在．
如果加密密码设成星号，用户将不能用 login(1) 来登录, 但依然可以用 rlogin(1) 登录, 通过 rsh(1) 或者 cron(1) 或者 at(1) 或者 mail 过滤器等程序运行已有的进程和开始新的等. 试图通过简单改变 shell
字段锁住一个用户结果是一样的， 而且还附上了使用 su(1) 的权限．

例：

复制代码

代码如下:

[root@Blackghost ~] passwd zhangying #给zhangying修改密码

chage
密码失效是通过此命令来管理的。

参数意思：
-m 密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M 密码保持有效的最大天数。
-W 用户密码到期前，提前收到警告信息的天数。
-E 帐号到期的日期。过了这天，此帐号将不可用。
-d 上一次更改的日期
-I 停滞时期。如果一个密码已过期这些天，那么此帐号将不可用。
-l 例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

例1:

复制代码

代码如下:

[root@localhost ~]# chage -l zhangy #查看用户密码设定情况

最近一次密码修改时间 ： 4月 27, 2013
密码过期时间 ： 从不
密码失效时间 ： 从不
帐户过期时间 ： 从不
两次改变密码之间相距的最小天数 ：-1
两次改变密码之间相距的最大天数 ：-1
在密码过期之前警告的天数 ：-1

复制代码

代码如下:

[root@localhost ~]# chage -M 90 zhangy #密码有效期90天

复制代码

代码如下:

[root@localhost ~]# chage -d 0 zhangy #强制用户登陆时修改口令

复制代码

代码如下:

[root@localhost ~]# chage -d 0 -m 0 -M 90 -W 15 zhangy #强制用户下次登陆时修改密码，并且设置密码最低有效期0和最高有限期90，提前15天发警报提示

例2:

复制代码

代码如下:

# chage -E 񟭎-09-30' test # test这个账号的有效期是2014-09-30

⑶ 虚拟机里的linux系统怎么修改用户的密码位数，也就是密码策略

如果你只是要修改一个用户的密码
你可以使用root用户来对其进行修改

直接执行命令

passwd
用户名

然后就可以设置密码了

如果你是全局的限定

修改/etc/login.defs里面的PASS_MIN_LEN的值。比如限制用户最小密码长度是4：
PASS_MIN_LEN
4

⑷ 如何设置Linux系统用户口令使用期限

如果你说的是系统用户的密码到期时间的话,可以用chage来修改 chage -l root 用来查看系统用户的到期时间

⑸ 如何设置Linux系统用户口令使用期限

如果你说的是系统用户的密码到期时间的话，可以用chage来修改
chage -l root
用来查看系统用户的到期时间

⑹ Linux PAM的system-auth只能对非root用户生效，那么如何对root密码做强度限制呢

chage：密码失效是通过此命令来管理的。
参数意思：
-m 密码可更改的最小天数。为零时代表任何时候都可以更改密码。
-M 密码保持有效的最大天数。
-W 用户密码到期前，提前收到警告信息的天数。
-E 帐号到期的日期。过了这天，此帐号将不可用。
-d 上一次更改的日期
-I 停滞时期。如果一个密码已过期这些天，那么此帐号将不可用。
-l 例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。

例1
[root@localhost ~]# chage -l zhangy #查看用户密码设定情况
最近一次密码修改时间 ： 4月 27, 2013
密码过期时间 ： 从不
密码失效时间 ： 从不
帐户过期时间 ： 从不
两次改变密码之间相距的最小天数 ：-1
两次改变密码之间相距的最大天数 ：-1
在密码过期之前警告的天数 ：-1

[root@localhost ~]# chage -M 90 zhangy #密码有效期90天

[root@localhost ~]# chage -d 0 zhangy #强制用户登陆时修改口令

[root@localhost ~]# chage -d 0 -m 0 -M 90 -W 15 zhangy #强制用户下次登陆时修改密码，并且设置密码最低有效期0和最高有限期90，提前15天发警报提示

例2

# chage -E '2014-09-30' test # test这个账号的有效期是2014-09-30

( 参考http://linux.51yip.com/search/chage）

⑺ 如何强制定期更改Linux操作系统密码

口令时效是一种系统机制，用于强制口令在特定的时间长度后失效。对用户来说，这可能带来了一些麻烦，但是它确保了口令会定期进行更改，是一项很好的安全措施。默认情况下，绝大多数的Linux分装版本并没有打开口令时效，不过要想打开却非常简单。 通过编辑/etc/login.defs，你可以指定几个参数，来设置口令实效的默认设定: PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_WARN_AGE 7当设置口令时效的天数为99999时，实际上相当于关闭了口令时效。一个更明智的设定一般是60天——每2个月强制更改一次密码。 PASS_MIN_DAYS参数则设定了在本次密码修改后，下次允许更改密码之前所需的最少天数。PASS_WARN_AGE的设定则指明了在口令失效前多少天开始通知用户更改密码（一般在用户刚刚登陆系统时就会收到警告通知）。你也会编辑/etc/default/useradd文件，寻找INACTIVE和EXPIRE两个关键词： INACTIVE=14 EXPIRE=这会指明在口令失效后多久时间内，如果口令没有进行更改，则将账户更改为失效状态。在本例中，这个时间是14天。而EXPIRE的设置则用于为所有新用户设定一个密码失效的明确时间（具体格式为“年份-月份-日期”）。 显然，上述这些设定更改之后，只能影响到新建立的用户。要想修改目前已存在的用户具体设置，需要使用chage工具。 # chage -M 60 joe这条命令将设置用户joe的PASS_MAX_DAYS为60，并修改对应的shadow文件。你可以使用chage -l的选项，列出当前的账户时效情况，而使用-m选项是设置PASS_MIN_DAYS， 用-W则是设置PASS_WARN_AGE，等等。chage工具可以让你修改特定账户的所有密码时效状态。 注意，chage仅仅适用于本地系统的账户，如果你在使用一个类似LDAP这样的认证系统时，该工具会失效。如果你在使用LDAP作为认证，而你又打算使用chage，那么，哪怕仅仅是试图列出用户密码的时效信息，你也会发现chage根本不起作用。 制定一项策略，定义多长时间一个密码必须进行更改，然后强制执行该策略，是非常不错的一个做法。在解雇了某个雇员后，口令时效策略会保证该雇员不可能在被解雇3个月后发现他的口令依然可用。即使系统管理员忽略了删除他的帐号，该帐号也会因密码时效策略而被自动锁定。当然，这一点并不能成为不及时删除该雇员帐号的理由，但是这个策略的确提供了一层额外的安全防护，尤其是在过去常常忽视及时清理帐号的情况下。 （T115）