Linux如何加固系统密码登录机制_Linux密码强度配置

通过配置PAM模块、/etc/login.defs策略及登录限制，可有效增强Linux密码安全：1. 使用pam_pwquality强制密码长度、复杂度及与旧密码差异；2. 设置PASS_MAX_DAYS、PASS_MIN_DAYS等参数规范密码有效期和最小长度；3. 启用pam_faillock限制登录失败次数，防止暴力破解；4. 禁用空密码登录，关闭不安全TTY访问，确保SSH安全配置；5. 定期审计用户策略与日志。

Linux系统中，密码是保障用户账户安全的第一道防线。通过合理配置密码强度和登录机制，能有效防止弱口令攻击、暴力破解等安全威胁。以下从PAM模块、系统配置文件和策略设置等方面，介绍如何加固Linux系统的密码登录机制。

启用PAM模块增强密码强度

Linux使用PAM（Pluggable Authentication Modules）来管理认证流程。通过配置pam_pwquality（旧版本为pam_passwdqc），可强制用户设置高强度密码。

配置方法：

• 编辑配置文件：/etc/pam.d/common-password 或 /etc/pam.d/system-auth（根据发行版不同路径可能有差异）
• 找到包含pam_pwquality.so的行，确保启用并添加策略参数，例如：

• retry=3：输错密码最多重试3次
• minlen=10：最小长度为10位
• difok=3：新密码至少与旧密码有3个字符不同
• dcredit=-1：必须至少包含一个数字
• ucredit=-1：必须至少包含一个大写字母
• lcredit=-1：必须至少包含一个小写字母
• ocredit=-1：必须至少包含一个特殊符号

修改后，所有通过PAM进行密码修改的操作都将受此规则限制。

配置全局密码策略（/etc/login.defs）

该文件定义了用户创建时的默认密码策略，适用于使用useradd命令新增的用户。

关键参数设置：

• PASS_MAX_DAYS 90：密码最长有效期90天，到期需更换
• PASS_MIN_DAYS 7：密码最短使用7天后才能修改，防止频繁更换绕过历史记录
• PASS_MIN_LEN 10：密码最小长度（注意：实际强度仍由PAM控制）
• PASS_WARN_AGE 7：密码过期前7天开始提示用户

这些设置不会影响已有用户，但新用户会继承该策略。已有用户的密码策略可通过chage命令单独调整。

Upscale

AI图片放大工具

85

查看详情

限制登录失败尝试（防暴力破解）

通过PAM的pam_tally2或pam_faillock模块，可锁定多次输错密码的账户。

使用pam_faillock配置示例：

• 在/etc/pam.d/sshd和/etc/pam.d/login中添加：

• 连续输错5次密码后，账户将被锁定10分钟（600秒）

管理员可通过faillock --user 查看失败记录，或用--reset手动解锁。

禁用空密码与不安全登录方式

确保系统不允许空密码登录，并关闭不必要的TTY远程访问。

• 检查/etc/ssh/sshd_config中设置：

• 重启SSH服务使配置生效：systemctl restart sshd
• 检查/etc/shadow中是否存在空密码账户（第二字段为空）：

如有输出，应立即为这些账户设置强密码或禁用。

基本上就这些。通过组合使用PAM模块、密码策略和登录控制，可以显著提升Linux系统的身份认证安全性。定期审计用户密码策略和登录日志，也是维持系统安全的重要环节。

以上就是Linux如何加固系统密码登录机制_Linux密码强度配置的详细内容，更多请关注php中文网其它相关文章！