CentOS7-账户安全策略配置(等保)

登录账户的密码复杂度设置

vi /etc/pam.d/system-auth

#在文件中加入以下语句：
password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1

#difok：本次密码与上次密码至少不同字符数
#minlen：密码最小长度，此配置优先于login.defs中的PASS_MAX_DAYS
#ucredit：最少大写字母
#lcredit：最少小写字母
#dcredit：最少数字
#retry：重试多少次后返回密码修改错误

#帐户登录连续 3 次失败，就统一锁定 60 秒， 60 秒后可以解锁
auth required pam_tally2.so  onerr=fail  deny=3  unlock_time=60 even_deny_root root_unlock_time=60

#root_unlock_time 表示 root 帐户的 锁定时间
#onerr=fail 表示连续失败
#deny=3,表示 超过3 次登录失败即锁定

登录账户的密码有效期设置

vi /etc/login.defs

#默认配置
PASS_MIN_LEN=5      #密码最小长度
PASS_MAX_DAYS=99999 #密码最大有效期
PASS_MIN_DAYS=0　　 #两次修改密码的最小间隔时间

#建议配置
PASS_MIN_LEN=8
PASS_MAX_DAYS=90
PASS_MIN_DAYS=2

登录密码输入错误策略设置

#ssh远程连接登录
vi /etc/pam.d/sshd

#%PAM-1.0  
auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60

#终端登录
vi /etc/pam.d/login

#%PAM-1.0  
auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60


## #%PAM-1.0  是第一行

登录后（无操作）超时策略设置

vi /etc/profile

export TMOUT=600     #单位为秒,10分钟