密码策略不设防？等保 2.0 下，这些 Linux 加固配置你必须知道！

wangpeibao

2025-10-10

系统运维

随着网络安全威胁不断增加，确保密码安全对于保护系统免受攻击至关重要。然而，使用简单密码、默认密码或长期不更换密码的情况仍然普遍存在，这给了黑客可乘之机。

为解决这些问题，《等级保护2.0》标准对密码复杂度、有效期及定期更换提出了明确要求。不符合这些规定的系统需改进以达到安全标准。

本文将指导您如何在各种Linux操作系统上根据《等级保护2.0》设置和管理密码策略，既增强安全性也符合最新合规需求。希望这对您有所帮助！

一、等保2.0对密码策略的“硬性标准”

控制要素

最低要求（建议配置）

密码最小长度

不少于 8 位（推荐 12 位及以上）

字符组成要求

至少包含大小写字母、数字、特殊字符三类中的两类以上

密码有效期

一般不超过 90 天

禁止重复使用历史密码

推荐至少记住最近 5 次密码

连续登录失败锁定机制

限制输错次数，锁定时间适当

等保不是“建议”，是“必须”！而密码策略，是合规检查中的重点项目。

二、主流Linux系统密码策略配置全攻略

以下操作适用于CentOS、RHEL、Ubuntu、Debian、openSUSE 等主流发行版。

第一步：安装依赖模块

pam_pwquality是密码复杂度策略的核心模块，如果未安装，需要先进行安装：

CentOS / RHEL / Rocky Linux：

复制

sudo yum install-y pam pwquality1.

Ubuntu / Debian：

复制

sudo apt install-y libpam-pwquality1.

检查是否已安装可使用：

复制

find / -name pam_pwquality.so 2>/dev/null1.

第二步：设置密码复杂度策略

编辑配置文件：

复制

sudo vi /etc/security/pwquality.conf1.

推荐配置如下：

复制

minlen=12 # 最小密码长度 ucredit=-1 # 至少一个大写字母 lcredit=-1 # 至少一个小写字母 dcredit=-1 # 至少一个数字 ocredit=-1 # 至少一个特殊字符 retry=3 # 密码输入错误允许重试次数1.2.3.4.5.6.

所有负数表示必须包，值为-1表示必须包含1个。

第三步：配置PAM模块以启用密码策略

系统通过PAMPluggable Authentication Modules机制对密码策略进行控制。

RHEL/CentOS 路径：

编辑 /etc/pam.d/system-auth：

复制

password requisite pam_pwquality.so try_first_pass local_users_only retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-11.

Ubuntu/Debian 路径：

编辑 /etc/pam.d/common-password，插入：

复制

password requisite pam_pwquality.so retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root1.

enforce_for_root 表示强制root用户也遵守复杂度策略，防止特权账户疏忽。

第四步：设置密码有效期

为确保密码定期更换，编辑 /etc/login.defs：

复制

PASS_MAX_DAYS 90# 最长使用时间 PASS_MIN_DAYS 7# 最短更换间隔 PASS_WARN_AGE 7# 过期前警告天数1.2.3.

为所有已有用户生效：

复制

for user in$(awk -F: $3 >= 1000 && $3 < 65534 {print $1} /etc/passwd);do chage --maxdays90--mindays7--warndays7"$user" done1.2.3.

三、加分项：增强防爆破、禁止弱口令

1. 限制登录失败次数 + 账户锁定时间

在 /etc/pam.d/system-auth 或 /etc/pam.d/common-auth 中添加：

复制

auth required pam_faillock.so preauth silent deny=5unlock_time=300 auth [default=die] pam_faillock.so authfail deny=5unlock_time=3001.2.

含义：连续输错密码 5 次，锁定账号 5 分钟。

2. 黑名单禁止弱口令

编辑 /etc/security/pwquality.conf，增加：

复制

badwords=/etc/security/weak_words1.

然后创建自定义弱口令词典：

复制

echo -e"123456\npassword\nadmin\nwelcome\nroot123"> /etc/security/weak_words1.

这样，用户在设置上述弱密码时将会被直接拒绝。

四、加固脚本

系统加固已不是“做不做”的问题，而是“做得够不够”。尤其是在企业运维中，面对等级保护2.0的合规压力，仅靠手动配置显然效率低下、容易遗漏。为了帮助广大运维人员快速完成核心安全配置，我们特意打造了一款系统等保加固配置工具，一键覆盖SSH加固、密码策略、日志审计、防火墙等关键环节，简单高效，开箱即用。👇👇👇

阅读剩余

THE END

普洛斯东莞谢岗数据中心高分通过Uptime M&O认证

<<上一篇

物联网如何提供可行的设施智能

下一篇>>