一、密码策略

1.1.密码策略

默认策略：

[root@hdp301 /]# cat /etc/login.defs

Linux操作系统建议设置密码策略：

• PASS_MAX_DAYS：90     # 密码的最大的有效期
• PASS_MIN_DAYS：2      # 2天后密码可修改
• PASS_WARN_AGE：7     #  密码失效前在7天用户登录时通知用户修改密码
• PASS_MIN_LENS：8     # 密码最小长度，使用pam_cracklib module,该参数不再有效 

1.2.密码复杂度通过实施

默认：

修改后：

password requisite pam_cracklib.so minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

• retry=N：重试多少次后返回密码修改错误 
• difok=N：新密码必需与旧密码不同的位数 
• dcredit=N： N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字
• lcredit=N：小写字母的个数 
• ucredit=N：大字母的个数
• ocredit=N：特殊字母的个数
• minclass=N：密码组成(大/小字母,数字,特殊字符) 
• -1表示至少1位

1.3.设置认证失败锁定账户策略

默认策略：

[root@hdp301 /]# cat /etc/pam.d/login

修改为：

account required /user/lib64/security/pam_tally2.so deny=5 no_magic_root reset

deny=5 设置登录 5 次就将用户锁住

二、设置Linux用户连接空闲超时时间

2.1.针对所有用户

[root@hdp301 /]# cat etc/profile

2.2.针对特定用户

cd  /home/sfyp_audit
vim .bash_profile
export TMOUT=300
export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S  `whoami`  " # 这将显示执行命令的用户