正文
主要是修改下面三行的内容:
1.3 密码复杂度
由于管理员给用户创建的密码暴露,所以管理员都是让用户自己修改密码,但还需要符合密码的强度,在这种场景下,管理员可能会强制用户定期更改密码,防止密码过期。
当用户需要更改密码时,为符合密码强度,可使用pam_cracklib.so 这个PAM模块来检测用户设置的密码是否符合要求。
将上面的这行修改为下面的内容:
1.4 删除无关帐号
下面的系统自带的账号应该移除或锁定。这类用户的密码列不是用*或者!!开头的。
三类用户:
超级用户:拥有对系统的最高管理权限,缺省是root用户。
普通用户:只能对自己目录下的文件进行访问和修改,具有登录系统的权限。
虚拟用户:也叫“伪”用户,这类用户最大的特点是不能登录系统,它们的存在主要是方便系统管理,满足相应的系统进程对文件属主的要求。
如果上面的这些用户没有被删除或锁定,可选用如下的三种操作:
4.1直接将用户移除掉
4.2若不想将上述用户移除,也可将其进行锁定
4.3还可修改用户的shell为/bin/false
执行下面的指令将上述用户进行锁定:
1.5 口令重复次数限制
对于采用静态口令认证技术的设备,应配置设备,使用户不能重复使用最近五次(含五次)内已使用的口令。
将上面的这行密码控制语句改为:
注意:NIS系统无法生效,非NIS系统或NIS+系统能够生效。
1.6 禁止管理组之外的用户su为根用户
