我们 Linux 通用安全之旅的起点是密码。 许多人将他们的重要信息和文件保存在计算机上,而唯一阻止其他人看到它的东西就是称为密码的八个字符的字符串。 与普遍的看法相反,不存在牢不可破的密码。 只要有时间和资源,所有密码都可以通过社会工程学或暴力破解来猜测。
服务器密码和其他访问方法的社会工程学仍然是访问帐户和服务器的最简单和最流行的方式。 通常,仅仅是扮演公司中的上级或主管,并在一天中的正确时间对正确的人大喊大叫,就能产生非常好的效果。
每周在您的系统上运行密码破解程序是一个好主意。 这有助于查找和替换容易被猜测或较弱的密码。 此外,应该存在密码检查机制,以便在首次选择密码或更改旧密码时拒绝弱密码。 不应接受纯字典单词、全部为相同大小写或不包含数字或特殊字符的字符串作为新密码。 我们建议以下规则,使密码有效
它们应该至少为六个字符长度,最好是八个字符,包括至少一个数字或特殊字符。
它们绝不能是简单的; 简单的密码是指容易猜测的密码,通常基于用户的姓名、家庭、职业或其他个人特征。
它们应该有一个老化期,要求在特定的时间范围内选择新密码。
在有限次数的并发不正确重试后,应该撤销并重置它们。
默认情况下,当您安装 Linux 系统时,可接受的最小密码长度为 5。 这意味着当允许新用户访问服务器时,他/她的密码长度至少为 5 个字符字符串、字母、数字、特殊字符等的组合。 这还不够,必须是 8。
为了防止没有安全意识的人员或管理员能够为重要的密码仅输入 5 个字符,请编辑非常重要的/etc/login.defs文件并将值 5 更改为 8。 编辑login.defs文件 vi/etc/login.defs并更改读取的行
PASS_MIN_LEN 5
|
PASS_MIN_LEN 8
|