隨著網(wǎng)絡(luò)安全威脅不斷增加，確保密碼安全對于保護系統(tǒng)免受攻擊至關(guān)重要。然而，使用簡單密碼、默認(rèn)密碼或長期不更換密碼的情況仍然普遍存在，這給了黑客可乘之機。

為解決這些問題，《等級保護2.0》標(biāo)準(zhǔn)對密碼復(fù)雜度、有效期及定期更換提出了明確要求。不符合這些規(guī)定的系統(tǒng)需改進以達到安全標(biāo)準(zhǔn)。

本文將指導(dǎo)您如何在各種Linux操作系統(tǒng)上根據(jù)《等級保護2.0》設(shè)置和管理密碼策略，既增強安全性也符合最新合規(guī)需求。希望這對您有所幫助！

一、等保2.0對密碼策略的“硬性標(biāo)準(zhǔn)”

等保不是“建議”，是“必須”！而密碼策略，是合規(guī)檢查中的重點項目。

二、主流Linux系統(tǒng)密碼策略配置全攻略

以下操作適用于CentOS、RHEL、Ubuntu、Debian、openSUSE 等主流發(fā)行版。

第一步：安裝依賴模塊

pam_pwquality是密碼復(fù)雜度策略的核心模塊，如果未安裝，需要先進行安裝：

CentOS / RHEL / Rocky Linux：

sudo yum install-y pam pwquality

Ubuntu / Debian：

sudo apt install-y libpam-pwquality

檢查是否已安裝可使用：

find / -name pam_pwquality.so 2>/dev/null

第二步：設(shè)置密碼復(fù)雜度策略

編輯配置文件：

sudo vi /etc/security/pwquality.conf

推薦配置如下：

minlen=12           # 最小密碼長度
ucredit=-1          # 至少一個大寫字母
lcredit=-1          # 至少一個小寫字母
dcredit=-1          # 至少一個數(shù)字
ocredit=-1          # 至少一個特殊字符
retry=3             # 密碼輸入錯誤允許重試次數(shù)

所有負(fù)數(shù)表示必須包，值為-1表示必須包含1個。

第三步：配置PAM模塊以啟用密碼策略

系統(tǒng)通過PAMPluggable Authentication Modules機制對密碼策略進行控制。

RHEL/CentOS 路徑：

編輯 /etc/pam.d/system-auth：

password requisite pam_pwquality.so try_first_pass local_users_only retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

Ubuntu/Debian 路徑：

編輯 /etc/pam.d/common-password，插入：

password requisite pam_pwquality.so retry=3minlen=12ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

enforce_for_root 表示強制root用戶也遵守復(fù)雜度策略，防止特權(quán)賬戶疏忽。

第四步：設(shè)置密碼有效期

為確保密碼定期更換，編輯 /etc/login.defs：

PASS_MAX_DAYS   90# 最長使用時間
PASS_MIN_DAYS   7# 最短更換間隔
PASS_WARN_AGE   7# 過期前警告天數(shù)

為所有已有用戶生效：

for user in$(awk -F: '$3 >= 1000 && $3 < 65534 {print $1}' /etc/passwd);do
    chage --maxdays90--mindays7--warndays7"$user"
done

三、加分項：增強防爆破、禁止弱口令

1. 限制登錄失敗次數(shù) + 賬戶鎖定時間

在 /etc/pam.d/system-auth 或 /etc/pam.d/common-auth 中添加：

auth required pam_faillock.so preauth silent deny=5unlock_time=300
auth [default=die] pam_faillock.so authfail deny=5unlock_time=300

含義： 連續(xù)輸錯密碼 5 次，鎖定賬號 5 分鐘。

2. 黑名單禁止弱口令

編輯 /etc/security/pwquality.conf，增加：

badwords=/etc/security/weak_words

然后創(chuàng)建自定義弱口令詞典：

echo -e"123456\npassword\nadmin\nwelcome\nroot123"> /etc/security/weak_words

這樣，用戶在設(shè)置上述弱密碼時將會被直接拒絕。

四、加固腳本

系統(tǒng)加固已不是“做不做”的問題，而是“做得夠不夠”。尤其是在企業(yè)運維中，面對等級保護2.0的合規(guī)壓力，僅靠手動配置顯然效率低下、容易遺漏。為了幫助廣大運維人員快速完成核心安全配置，我們特意打造了一款系統(tǒng)等保加固配置工具，一鍵覆蓋SSH加固、密碼策略、日志審計、防火墻等關(guān)鍵環(huán)節(jié)，簡單高效，開箱即用。??????