01
身份鉴别
《信息系统等级保护基本要求》
b)应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
c)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,系统的静
态口令应在 8 位以上并由字母、数字、符号等混合组成并每三个月更换口令。
口令复杂度策略
口令长度至少 8 位,并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2
类。
/etc/security/pam_pwcheck.conf
Minlen //密码最小长度要求;
Lcredit //小写字符数量
Ocredit //特殊字符数量
多次登录失败锁定策略
系统应配置当用户连续认证失败次数超过 6 次(不含 6 次),锁定该用户使用
的账号,root 用户不适用该项配置。
修改/etc/pam.d/sshd 文件,添加如下两行:
auth requiredpam_tally.so no_magic_root #此行的位置需要在该文件的第一行。
account requiredpam_tally.so deny=6 no_magic_root
重启 sshd 服务:/etc/init.d/sshdrestart
不同版本可尝试: