- 找到etc/pam.d/目录下的common-password
2.先把common-password给复制一份,避免改错了
可以看到新增了一个common-password.bak文件
3.打开common-password,增加密码策略
输入:
sudo vi /etc/pam.d/common-passwod打开common-password文件
点击:i键,进入编辑状态
新增以下命令:
password requisite pam_pwquality.so retry=3 minlen=12 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
命令解释如下:
| 参数 | 作用 | 示例值 | 安全要求 |
|---|---|---|---|
minlen=12 | 密码最小长度 12 位 | 12 | 防短密码爆破 |
difok=3 | 新旧密码至少 3 个字符不同 | 3 | 防密码重复 |
ucredit=-1 | 至少 1 个大写字母 | -1 | 强制大小写混合 |
lcredit=-1 | 至少 1 个小写字母 | -1 | 强制大小写混合 |
dcredit=-1 | 至少 1 个数字 | -1 | 防纯字母密码 |
ocredit=-1 | 至少 1 个特殊字符(如 !、#) | -1 | 增强复杂度 |
enforce_for_root | 对 root 用户生效 | - | 避免特权账户绕过策略 |
注:
ocredit=-1是强制特殊字符的关键参数,若省略则策略不完整。enforce_for_root确保 root 用户同样受约束(默认策略不限制 root)
按:esc 键,退出编辑状态
输入: :wq 退出并且保存
4:修改密码试一下
sudo passwd ztl
但是提示:module is unknown
应该是缺少pam模块,那么就执行如下命令
sudo apt install libpam-pwquality安装依赖包,执行安装依赖的时候,必须要连接网络才行
中间会询问是否继续,输入y
从图片看已经下载成功了,那么我们就验证一下
输入简单密码,提示长度不够
说明策略已经成功了!
