9.4 账户安全
9.4 账户安全
9.4.1 账户管理
见 第 3 章 用户和组群管理
9.4.2 用户认证(PAM)
用户认证是操作系统对登录到系统中的用户的身份进行确认和授权的机制,是整个系统安全的重要关卡。PAM 框架是实现用户认证的基础,通过将应用程序与具体的认证机制分离,使得系统改变认证机制时,不再需要修改采用认证机制的应用程序,仅需由管理员配置应用程序的认证服务模块,极大的提高了认证机制的通用性和灵活性。
相关配置待续。
9.4.3 访问控制
9.4.3.1 文件权限控制
请参见 1.4 节内容。
9.4.3.2 用户密码强度配置
对用户密码强度的限制是在/etc/pam.d/system-auth 文件中设置的。在这个文件中缺省有下面的一行内容:
Password requisite pam_cracklib.so try_first_pass retry=3 minlen=1
可以在这一行后面附加和密码强度有关的配置选项:
difok=N
这个选项用于定义新旧密码之间的最低差异,缺省值为 5。
minlen=N
这个选项用于定义密码的最短长度,缺省值为 9。
dcredit=N
这个选项用于定义密码中数字出现次数的上限(正数)或下限(负数),缺省值为 1。
ucredit=N
这个选项用于定义密码中大写字母出现次数的上限(正数)或下限(负数),缺省值为 1。
lcredit=N
这个选项用于定义密码中小写字母出现次数的上限(正数)或下限(负数),缺省值为 1。
ocredit=N
这个选项用于定义密码中其它字符出现次数的上限(正数)或下限(负数),缺省值为 1。