如何在Linux为系统用户设置密码复杂度策略 – java – 前端

这是linux密码策略决定的，建议用大写+数字+特殊符号，这种策略是可以更改的，

1、使用配置文件/etc/pam.conf

该文件是由如下的行所组成的：

service-namemodule-typecontrol-flagmodule-patharguments

service-name服务的名字，比如telnet、login、ftp等，服务名字“OTHER”代表所有没有在该文件中明确配置的其它服务。

module-type模块类型有四种：auth、account、session、password，即对应PAM所支持的四种管理方式。同一个服务可以调用多个PAM模块进行认证，这些模块构成一个stack。

control-flag用来告诉PAM库该如何处理与该服务相关的PAM模块的成功或失败情况。它有四种可能的值：required，requisite，sufficient，optional。

required表示本模块必须返回成功才能通过认证，但是如果该模块返回失败的话，失败结果也不会立即通知用户，而是要等到同一stack中的所有模块全部执行完毕再将失败结果返回给应用程序。可以认为是一个必要条件。

requisite与required类似，该模块必须返回成功才能通过认证，但是一旦该模块返回失败，将不再执行同一stack内的任何模块，而是直接将控制权返回给应用程序。是一个必要条件。注：这种只有RedHat支持，Solaris不支持。

sufficient表明本模块返回成功已经足以通过身份认证的要求，不必再执行同一stack内的其它模块，但是如果本模块返回失败的话可以忽略。可以认为是一个充分条件。

optional表明本模块是可选的，它的成功与否一般不会对身份认证起关键作用，其返回值一般被忽略。

对于control-flag，从Linux-PAM-0.63版本起，支持一种新的语法，具体可参看LinuxPAM文档。

module-path用来指明本模块对应的程序文件的路径名，一般采用绝对路径，如果没有给出绝对路径，默认该文件在目录/usr/lib/security下面。

arguments是用来传递给该模块的参数。一般来说每个模块的参数都不相同，可以由该模块的开发者自己定义，但是也有以下几个共同的参数：

debug该模块应当用syslog()将调试信息写入到系统日志文件中。

no_warn表明该模块不应把警告信息发送给应用程序。

use_first_pass表明该模块不能提示用户输入密码，而应使用前一个模块从用户那里得到的密码。

try_first_pass表明该模块首先应当使用前一个模块从用户那里得到的密码，如果该密码验证不通过，再提示用户输入新的密码。

use_mapped_pass该模块不能提示用户输入密码，而是使用映射过的密码。

expose_account允许该模块显示用户的帐号名等信息，一般只能在安全的环境下使用，因为泄漏用户名会对安全造成一定程度的威胁。

2、使用配置目录/etc/pam.d/（只适用于RedHatLinux）

该目录下的每个文件的名字对应服务名，例如ftp服务对应文件/etc/pam.d/ftp。如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存在，则该服务将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成：

module-typecontrol-flagmodule-patharguments

每个字段的含义和/etc/pam.conf中的相同。

由于公司使用的是RedHat的Linux故此偶将使用pam.d这个配置目录。密码复杂度通过/etc/pam.d/system-auth这个文件来实现的故此大家先看一下默认有什么内容然后将这个文件备份一个：

在这个文件中大家会用到pam_cracklib.so这个模块。pam_cracklib.so是一个常用并且非常重要的PAM模块。该模块主要的作用是对用户密码的强健性进行检测。即检查和限制用户自定义密码的长度、复杂度和历史等。如不满足上述强度的密码将拒绝使用。

pam_cracklib.so比较重要和难于理解的是它的一些参数和计数方法，其常用参数包括：

debug：将调试信息写入日志；

type=xxx：当添加/修改密码时，系统给出的缺省提示符是“NewUNIXpassword:”以及“RetypeUNIX

password:”，而使用该参数可以自定义输入密码的提示符，比如指定type=yourownword；

retry=N：定义登录/修改密码失败时，可以重试的次数；

Difok=N：定义新密码中必须有几个字符要与旧密码不同。但是如果新密码中有1/2以上的字符与旧密码不同时，该新密码将被接受；

minlen=N：定义用户密码的最小长度；

dcredit=N：定义用户密码中必须包含多少个数字；

ucredit=N：定义用户密码中必须包含多少个大写字母；

lcredit=N：定义用户密码中必须包含多少个小些字母；

ocredit=N：定义用户密码中必须包含多少个特殊字符（除数字、字母之外）