如何用 PAM 模块加强 Linux 密码复杂度?一文搞定!
在现代企业的生产环境中,信息安全是重中之重。密码作为身份验证的重要手段,其安全性直接关系到系统的整体防护能力。一个简单的密码可能是黑客攻破系统的敲门砖,带来无法估量的风险。因此,许多公司在操作系统中配置了强密码策略,以确保每一个用户密码都能抵挡住外部的攻击。
那么,如何有效地管理这些密码复杂度要求呢?
在不同的Linux发行版中,配置密码复杂度的方式有所不同。通常,密码复杂度的管理是通过PAM来实现的。
Red Hat/CentOS/Fedora系列在Red Hat Enterprise Linux``CentOS和Fedora等发行版中,密码复杂度的配置主要通过PAM(Pluggable Authentication Modules,可插拔认证模块)中的pam_pwquality.so模块来实现。具体操作方法如下:
简单来说,你需要对系统认证文件进行编辑:
打开终端,输入以下命令进入配置文件编辑界面:
复制
vim /etc/pam.d/system-auth1.
执行上述文件后,该文件内容如下图所示:
在该文件中,找到并修改与密码质量相关的配置项,即可实现密码复杂度的设置。
Debian/Ubuntu系列对于Debian和Ubuntu等发行版,密码复杂度的配置同样使用pam_pwquality.so模块,但配置文件位置有所不同。你需要编辑的是:
复制
sudo nano /etc/pam.d/common-password1.
在这里,你可以根据需要调整密码策略参数,确保密码符合安全标准。
注意:在使用该功能之前先要确定系统是否安装了该模块。
配置项说明复制
password requisite pam_pwquality.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-11.
password 表示这个PAM模块是用于密码验证的。
requisite 是PAM模块的控制标志之一,它表示如果这个模块验证失败,接下来的验证流程会被中断,用户将无法继续登录或执行相关操作。password requisite pam_pwquality.so后面添加或修改相关配置就可以了。具体的参数设置,可以参考以下信息:
在大型企业或组织中,单个用户密码的管理可能没有太大挑战,但当面临大量用户时,如何批量配置密码复杂度并确保其符合安全要求就成了一个难题。那么,如何有效地进行批量管理?
通过脚本批量修改PAM配置为了实现密码策略的高效管理,可以开发一个Shell脚本,利用sed或awk等工具对多个配置文件进行自动化批量更新。这样不仅能够显著提升工作效率,还能确保密码策略在各个系统组件中保持一致性和标准化管理。
以下是一个用于配置密码复杂度的Shell脚本示例:
复制
update_pam_pwquality() {
# 配置项
minlen="minlen=8"
ucredit="ucredit=-2"
lcredit="lcredit=-1"
dcredit="dcredit=-4"
ocredit="ocredit=-1"
# 判断 Linux 发行版并设置 PAM 配置文件路径
if [ -f /etc/os-release ]; then
# 获取发行版名称
source /etc/os-release
DISTRO_NAME=$ID
# 根据发行版选择正确的 PAM 配置文件
case"$DISTRO_NAME"in
"centos"|"rhel"|"fedora")
PAM_FILE="/etc/pam.d/system-auth"
PACKAGE="libpwquality"
PKG_MGR="yum"
;;
"ubuntu"|"debian")
PAM_FILE="/etc/pam.d/common-password"
PACKAGE="libpam-pwquality"
PKG_MGR="apt-get"
;;
"arch"|"manjaro")
PAM_FILE="/etc/pam.d/system-auth"
PACKAGE="libpwquality"
PKG_MGR="pacman"
;;
"opensuse")
PAM_FILE="/etc/pam.d/common-password"
PACKAGE="libpwquality"
PKG_MGR="zypper"
;;
*)
echo"Unsupported distribution: $DISTRO_NAME"
exit 1
;;
esac
else
echo"无法识别发行版,无法确定 PAM 配置文件路径"
exit 1
fi
# 检查并安装 pam_pwquality 模块
if ! rpm -q "$PACKAGE" >/dev/null 2>&1 && ! dpkg -l "$PACKAGE" >/dev/null 2>&1; then
echo"正在安装 $PACKAGE..."
if ! sudo $PKG_MGR install -y "$PACKAGE"; then
echo"安装 $PACKAGE 失败,请手动安装后重试"
exit 1
fi
fi
# 备份原始 PAM 配置文件
BACKUP_FILE="$PAM_FILE.$(date +%Y%m%d%H%M%S)"
cp -p "$PAM_FILE""$BACKUP_FILE"
echo"配置文件已备份到 $BACKUP_FILE"
# 定位到包含 "password.*pam_pwquality.so" 的行
line_number=$(grep -n "^password.*pam_pwquality.so""$PAM_FILE" | cut -d: -f1)
if [[ -n "$line_number" ]]; then
# 获取当前行内容
current_line=$(sed -n "${line_number}p""$PAM_FILE")
# 检查并更新 minlen
if [[ "$current_line" =~ minlen=([0-9]+) ]]; then
current_minlen="${BASH_REMATCH[1]}"
if [[ "$current_minlen" != "8" ]]; then
# 更新 minlen 为 8
current_line=$(echo"$current_line" | sed "s/minlen=$current_minlen/minlen=8/")
echo"更新 minlen minlen to 8."
fi
else
# 添加 minlen 配置
current_line="$current_line $minlen"
echo"添加 minlen=8."
fi
# 检查并更新 ucredit
if [[ "$current_line" =~ ucredit=(-?[0-9]+) ]]; then
current_ucredit="${BASH_REMATCH[1]}"
if [[ "$current_ucredit" != "-2" ]]; then
# 更新 ucredit 为 -2
current_line=$(echo"$current_line" | sed "s/ucredit=$current_ucredit/ucredit=-2/")
echo"更新 ucredit to -2."
fi
else
# 添加 ucredit 配置
current_line="$current_line $ucredit"
echo"添加 ucredit=-2."
fi
# 检查并更新 lcredit
if [[ "$current_line" =~ lcredit=(-?[0-9]+) ]]; then
current_lcredit="${BASH_REMATCH[1]}"
if [[ "$current_lcredit" != "-1" ]]; then
# 更新 lcredit 为 -1
current_line=$(echo"$current_line" | sed "s/lcredit=$current_lcredit/lcredit=-1/")
echo"更新 lcredit to -1."
fi
else
# 添加 lcredit 配置
current_line="$current_line $lcredit"
echo"添加 lcredit=-1."
fi
# 检查并更新 dcredit
if [[ "$current_line" =~ dcredit=(-?[0-9]+) ]]; then
current_dcredit="${BASH_REMATCH[1]}"
if [[ "$current_dcredit" != "-4" ]]; then
# 更新 dcredit 为 -4
current_line=$(echo"$current_line" | sed "s/dcredit=$current_dcredit/dcredit=-4/")
echo"更新 dcredit to -4."
fi
else
# 添加 dcredit 配置
current_line="$current_line $dcredit"
echo"添加 dcredit=-4."
fi
# 检查并更新 ocredit
if [[ "$current_line" =~ ocredit=(-?[0-9]+) ]]; then
current_ocredit="${BASH_REMATCH[1]}"
if [[ "$current_ocredit" != "-1" ]]; then
# 更新 ocredit 为 -1
current_line=$(echo"$current_line" | sed "s/ocredit=$current_ocredit/ocredit=-1/")
echo"更新 ocredit to -1."
fi
else
# 添加 ocredit 配置
current_line="$current_line $ocredit"
echo"添加 ocredit=-1."
fi
# 用修改后的行替换原文件中的行
sed -i "${line_number}s|.*|$current_line|""$PAM_FILE"
echo"Line updated in $PAM_FILE."
else
echo"password requisite pam_pwquality.so minlen=8 ucredit=-2 lcredit=-1 dcredit=-4 ocredit=-1" >> "$PAM_FILE"
echo"密码复杂度-未符合要求-已配置"
fi
}1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.55.56.57.58.59.60.61.62.63.64.65.66.67.68.69.70.71.72.73.74.75.76.77.78.79.80.81.82.83.84.85.86.87.88.89.90.91.92.93.94.95.96.97.98.99.100.101.102.103.104.105.106.107.108.109.110.111.112.113.114.115.116.117.118.119.120.121.122.123.124.125.126.127.128.129.130.131.132.133.134.135.136.137.138.139.140.141.142.143.144.145.146.
THE END
