Linux(Unix)密码策略问题导致root密码不能修改

发布时间:  2016-01-19 浏览次数:  1052 下载次数:  5
问题描述

用户修改了密码配置文件,导致root账户修改密码时报如下错误:

处理过程

登陆到FC上,找到对应的机器,VNC登陆系统


2.      登陆到系统后,进入密码策略配置目录下

a.      如果是DebianUbuntu Linux Mint 系统,编辑vim /etc/pam.d/common-password

密码策略的配置一定要如下顺序显示:




b.      如果是CentOSFedoraRHEL 系统,编辑vim /etc/pam.d/system-auth,密码策略的配置一定要如下顺序显示:






3.      禁止使用旧密码

找到同时有“password”和“pam_unix.so”字段并且附加有“remember=5”的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下面)。

DebianUbuntu Linux Mint 系统:

Vim /etc/pam.d/common-password

password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5

 

CentOSFedoraRHEL 系统:

Vim /etc/pam.d/system-auth

password sufficient pamunix.so sha512 shadow nullok tryfirstpass useauthtok remember=5

 

4.      设置最短密码长度

找到同时有“password”和“pam_cracklib.so”字段并且附加有“minlen=10”的那行,它表示最小密码长度为(10 - 类型数量)。这里的“类型数量”表示不同的字符类型数量。PAM 提供4种类型符号作为密码(大写字母、小写字母、数字和标点符号)。如果你的密码同时用上了这4种类型的符号,并且你的 minlen 设为10,那么最短的密码长度允许是6个字符。

DebianUbuntu Linux Mint 系统:

vim /etc/pam.d/common-password

password requisite pam_cracklib.so retry=3 minlen=10 difok=3

 

CentOSFedoraRHEL 系统:

vim /etc/pam.d/system-auth

password requisite pam_cracklib.so retry=3 difok=3 minlen=10

 

5.      设置密码复杂度

找到同时有“password”和“pam_cracklib.so”字段并且附加有“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”的那行,它表示密码必须至少包含一个大写字母(ucredit),两个小写字母(lcredit),一个数字(dcredit)和一个标点符号(ocredit)。

DebianUbuntu Linux Mint 系统:

vim /etc/pam.d/common-password

password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

 

CentOSFedoraRHEL 系统:

Vim /etc/pam.d/system-auth

password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

 

6.      设置密码过期期限

vim /etc/login.defs





建议与总结

建议对密码策略不熟悉的用户不要修改密码策略,如果修改的话一定不要把顺序弄错了。


END