如何配置Linux用户密码复杂度 pam_pwquality设置

linux系统需要配置密码复杂度以提高安全性，防止弱密码被暴力破解或字典攻击。核心方法是通过编辑/etc/security/pwquality.conf文件并确保pam_pwquality.so模块被正确加载。1. 配置pwquality.conf设置minlen（最小长度）、dcredit/ucredit/lcredit/ocredit（字符类型要求）、difok（与旧密码差异）、maxrepeat（重复字符限制）、gecoscheck（检查用户信息）、badwords（禁用词列表）等参数；2. 修改pam配置文件如/etc/pam.d/system-auth，添加password requisite pam_pwquality.so retry=3；3. 测试验证可通过passwd命令尝试设置不符合规则的密码，并检查系统日志；4. 故障排查包括确认模块加载顺序、控制标志、配置文件语法、权限及selinux/apparmor是否阻止访问。合理配置可有效提升系统安全，平衡用户体验与防护强度。

在Linux系统中，要配置用户密码的复杂度，核心是通过pam_pwquality这个PAM（Pluggable Authentication Modules）模块来实现的。它允许系统管理员定义一系列规则，比如密码长度、包含的字符类型、是否与旧密码相似等，从而强制用户设置更安全的密码。这不仅是系统安全的基础，也是许多合规性要求中不可或缺的一环。

解决方案

配置pam_pwquality主要涉及编辑其主配置文件/etc/security/pwquality.conf，并确保PAM服务堆栈中正确加载了pam_pwquality.so模块。

首先，定位并编辑/etc/security/pwquality.conf文件。这个文件定义了密码复杂度的具体规则。如果文件不存在，你可能需要手动创建它，或者它可能在某些发行版中被命名为其他类似的文件，但通常路径就是这个。

以下是一些常用的配置参数及其简要说明，你可以根据实际需求进行调整：

• minlen：密码的最小长度。这是最基本的，我通常建议至少12个字符，甚至更多。
• dcredit：密码中至少需要包含的数字字符数量（负数表示必须包含，正数表示可选）。比如，-1表示至少一个数字。
• ucredit：密码中至少需要包含的大写字母数量。
• lcredit：密码中至少需要包含的小写字母数量。
• ocredit：密码中至少需要包含的特殊字符数量（非字母、数字）。
• difok：新密码与旧密码之间必须不同的字符数量。我个人觉得这个参数很重要，防止用户只是简单改动一个字符。
• maxrepeat：允许的最大连续重复字符数。比如aaa就不行。
• gecoscheck：是否检查密码中包含用户GECOS信息（全名、电话等），防止使用个人信息作为密码。
• badwords：一个逗号分隔的列表，包含不允许在密码中出现的单词。可以防止用户使用常见的弱密码或字典词汇。
• dictpath：指定一个字典文件的路径，用于检查密码是否是字典词汇。

一个典型的/etc/security/pwquality.conf配置示例可能看起来像这样：

# 密码最小长度为14个字符
minlen = 14
# 至少包含1个数字
dcredit = -1
# 至少包含1个大写字母
ucredit = -1
# 至少包含1个小写字母
lcredit = -1
# 至少包含1个特殊字符
ocredit = -1
# 新密码与旧密码至少有8个字符不同
difok = 8
# 最多允许3个连续重复字符
maxrepeat = 3
# 检查密码是否包含用户GECOS信息
gecoscheck = 1
# 不允许在密码中使用的常见弱词汇
badwords = password,123456,qwerty,admin,root,test

配置完pwquality.conf后，下一步是确保PAM服务在处理密码时会调用pam_pwquality.so模块。这通常在/etc/pam.d/system-auth或/etc/pam.d/passwd（取决于你的Linux发行版和具体需求）等文件中进行。

你需要找到类似下面这行的配置：

password    requisite     pam_pwquality.so retry=3

或者：

password    required      pam_pwquality.so

retry=3表示如果密码不符合要求，PAM会提示用户重新输入3次。requisite和required是PAM模块的控制标志：requisite表示如果模块失败，PAM会立即返回错误并不再检查后续模块；required表示如果模块失败，PAM会记录错误但会继续检查后续模块，直到所有模块都检查完毕才返回错误。我个人倾向于使用requisite，这样用户能更快地知道密码不符合要求。

修改完PAM配置文件后，通常无需重启服务，新的密码策略会立即生效。你可以尝试用passwd命令为某个用户修改密码来测试配置是否生效。

为什么Linux系统需要配置密码复杂度？

这个问题嘛，其实就像问为什么我们要给家里上锁一样，都是为了安全。在Linux系统里，密码是用户身份的唯一凭证，也是抵御未经授权访问的第一道防线。如果你不配置密码复杂度，或者配置得太弱，那简直就是在给攻击者开绿灯。

文心快码

文心快码（Comate）是百度推出的一款AI辅助编程工具

35

查看详情

我见过太多因为弱密码导致的安全事件了。很多用户为了方便，会设置一些极其简单的密码，比如123456、password、生日、电话号码，甚至直接用用户名。这些密码在字典攻击、暴力破解面前简直是不堪一击。攻击者可能通过自动化工具，在几秒钟内就能尝试成千上万个常见密码组合。一旦密码被破解，那整个系统就可能面临数据泄露、服务中断、甚至被植入恶意程序的风险。

所以，配置密码复杂度，就是为了强制用户创建更健壮、更难以猜测和破解的密码。这不仅仅是技术上的要求，更是一种安全意识的体现。它能有效提高系统抵御自动化攻击的能力，降低人为因素导致的安全风险。虽然有时会抱怨密码太复杂不好记，但想想一旦系统被攻破的后果，那点不便也就不算什么了。这其实是在安全和用户体验之间找一个平衡点，而pam_pwquality就是那个平衡器。

pam_pwquality模块的核心参数解析与最佳实践

深入了解pam_pwquality的参数，能让我们更好地平衡安全与可用性。毕竟，如果密码策略过于严苛，用户可能会选择把密码写在纸上，或者干脆用一个简单的模式来生成，反而适得其反。

• minlen (最小长度)：这是最直观的。我建议至少12到14个字符。如果可以，16个字符更好。越长，被暴力破解的难度呈指数级增长。
• dcredit, ucredit, lcredit, ocredit (数字、大写、小写、特殊字符计数)：这些参数通常设置为负数，表示“必须包含至少N个”。例如，dcredit = -1意味着必须至少有一个数字。我的经验是，要求每种字符类型至少一个（即都设置为-1）是比较合理的，这大大增加了密码的复杂性。
• difok (与旧密码不同字符数)：这个参数我觉得非常重要。很多用户改密码只是在旧密码后面加个1或者改动一两个字符。设置difok = 5或8可以强制用户进行更大幅度的修改，避免这种“懒惰式”的密码更新。
• maxrepeat (最大重复字符数)：防止aaaaaa这种密码。设置maxrepeat = 3或2是个好习惯。
• gecoscheck (检查GECOS信息)：用户在创建账户时通常会填写全名、电话等GECOS信息。开启这个选项可以防止用户直接用这些个人信息作为密码的一部分。这在防范社会工程学攻击时有一定帮助。
• badwords (禁用词列表)：这个列表可以手动维护，加入一些常见的弱密码、公司名称、产品名称等。例如，badwords = companyname,productname,welcome。这能有效防止用户使用企业内部常见的词汇。
• dictpath (字典路径)：指向一个字典文件。pam_pwquality会用这个字典来检查用户密码是否是常见的字典词汇。这个功能非常强大，强烈建议配置。通常，字典文件可以在/usr/share/dict/目录下找到。

在实践中，我发现一个常见的误区是只关注minlen而忽略了credit系列参数。一个16个字符但全是小写字母的密码，其安全性远不如一个12个字符但包含各种字符的密码。因此，平衡地配置这些参数至关重要。

另外，在PAM配置中，pam_pwquality.so模块的顺序也很关键。它应该在pam_unix.so（或pam_sss.so等实际处理密码的模块）之前被调用，这样才能在密码写入系统前进行检查。

配置pam_pwquality后，如何确保其生效并进行故障排除？

配置完成后，最直接的验证方法就是尝试修改用户密码。

验证方法：

1. 使用passwd命令测试： 尝试为任意用户（包括你自己）修改密码，故意设置一个不符合你新策略的密码。 例如，如果你的minlen是14，尝试设置一个8个字符的密码。系统应该会提示你密码不符合要求，并给出具体的失败原因（比如“密码太短”、“密码中缺少数字”等）。

   passwd username

   登录后复制
2. 检查系统日志： pam_pwquality在验证失败时，通常会在系统日志中留下记录。这些日志通常位于/var/log/secure、/var/log/auth.log或/var/log/messages，具体取决于你的Linux发行版。 你可以使用tail -f /var/log/secure（或相应的日志文件）在修改密码时实时查看日志输出，寻找包含pam_pwquality或password check failed的条目。

故障排除：

如果配置没有生效，或者出现了意料之外的行为，可以从以下几个方面进行排查：

1. PAM模块加载问题：
   • 检查PAM配置文件： 确保/etc/pam.d/system-auth（或你修改的那个文件）中确实包含了pam_pwquality.so这一行，并且没有被注释掉。
   • 模块顺序： 确认pam_pwquality.so在PAM堆栈中的位置是否正确，通常它应该在其他密码处理模块之前执行。
   • 控制标志： 检查pam_pwquality.so行前的控制标志（required、requisite、sufficient、optional）。requisite或required是确保其强制执行的正确选择。
2. pwquality.conf语法错误：
   • 仔细检查/etc/security/pwquality.conf文件，确保参数名和值之间没有多余的空格，没有拼写错误，并且每个参数都在新行上。一个简单的语法错误都可能导致整个文件不被解析。
   • 有时候，如果文件权限不正确，PAM也可能无法读取它。确保文件对PAM服务是可读的（例如，644）。
3. 日志分析：
   • 日志是最好的调试工具。当密码验证失败时，pam_pwquality通常会给出比较详细的错误信息，告诉你具体是哪个规则没有通过。根据这些信息，你可以直接定位是哪个参数配置不当。
4. SELinux/AppArmor：
   • 在一些安全增强的系统上，SELinux或AppArmor可能会阻止PAM读取某些文件或执行某些操作。如果你的系统启用了这些安全模块，检查相关日志（如audit.log）是否有拒绝访问的记录。
5. PAM调试模式：
   • 对于更复杂的PAM问题，可以尝试在测试环境中开启PAM的调试模式。这通常涉及修改PAM配置文件，在相关模块行后面加上debug选项，或者设置PAM_DEBUG环境变量。但这会产生大量日志，只在调试时使用。

记住，在对任何系统配置文件进行修改之前，始终备份原始文件是一个黄金法则。这样，万一出现问题，你可以迅速回滚到已知的工作状态。

以上就是如何配置Linux用户密码复杂度 pam_pwquality设置的详细内容，更多请关注php中文网其它相关文章！