Linux 패스워드 사용규칙 적용
설정파일 :
/etc/login.defs
/etc/pam.d/system-auth
1. 패스워드 사용 기간 제한
$> vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_MIN_LEN 9
PASS_WARN_AGE 7
PASS_MAX_DAYS 90: 패스워드 최대 사용기간 90일, 90일 이후에는 패스워드를 변경해야함
PASS_MIN_DAYS 3: 패스워드 최소 사용기간 3일, 패스워드 변경 후 최소 3일은 사용해야함
PASS_MIN_LEN 7: 패스워드 최소 길이 7자
PASS_WARN_AGE 80: 패스워드 변경 경고 보내는 일수 80일, 패스워드 만료 80일 전부터 메세지표시
2. 계정 잠금 허용
$> vi /etc/default/useradd
INACTIVE=0
// 미 확인 내용
3. 기타 비밀번호 설정
$>vi /etc/pam.d/system-auth
auth required pam_env.so
auth required pam_tally.so per_user
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 minlen=9 ucredit=-1 dcredit=-1 ocredit=-1 lcredit=-1
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
(설명)
auth required pam_tally.so per_user
--> faillog 설정에 따름.
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 ucredit=-1 dcredit=-1 ocredit=-1 lcredit=-1
-->
retry=N : 패스워드 입력 실패 시 재시도횟수
difok=N : 기존 패스워드와 비교. 기본값10 (50%)
minlen=N : 크레디트를 더한 패스워드최소길이
dcredit=N : 숫자에 주어지는 크레디트값. 기본 1
udredit=N : 영어대문자에 주어지는 크레디트값
lcredit=N : 영어 소문자에 주어지는 크레디트값
ocredit=N : 숫자, 영어대/소문자를 제외한 기타문자
(각 항목에서 -1 값을 주면 반드시 해당하는 문자를 포함시켜야 함. 즉 dcredit=-1 이라면 패스워드에 숫자가 반드시 포함되어야 함.)
4. 계정 접속 제한 설정
*** faillog -m 3 시 /var/log/faillog 파일이 128G 로 되는 버그 fix 방법 ***
$> patch < shadow-4.0.17-setmax.path
파일위치: /usr/bin/faillog
$> faillog -u userid -m 3 #계정을 3번까지 잘못입력하는 것 허용
$> faillog -u root -m 0 #root 계정은 max 값 0로 주어 제한 없이 사용가능
5. 잠긴 계정 활성화
$> faillog -u [userId] -r
6. root의 경우 해당 경우에서 제외
$> faillog -u root -m 0
7. 에러로그 확인
일반계정에서 패스워드 변경시 에러
You must wait longer to change your password
-- 패스워드 변경없이 사용할수 있는 최소일자 오류
passwd: Authentication token manipulation error
cat /etc/login.defs
PASS_MAX_DAYS 90 => 패스워드를 변경하지 않고 동일한 패스워드를 지속적으로 사용할수 있는 최대일자.
PASS_MIN_DAYS 1 => 패스워드 변경없이 사용할수 있는 최소일자.
PASS_MIN_LEN 5 => 패스워드 최소 길이 지정
PASS_WARN_AGE 7 => 패스워드 사용일자가 종료되기 전 경고메시지 보내는 기간.
chage -m 0 test2 => PASS_MIN_DAYS 0으로 변경
#############참고################
BAD PASSWORD: is too similar to the old one
리눅스에서 passwd 명령어를 이용해서 비밀번호를 변경할 때 기존 비밀번호랑 패턴이 유사하면
"BAD PASSWORD: is too similar to the old one" 에러 메시지를 출력합니다
Have exhausted maximum number of retries for service
최대 횟수로 시도된 암호 변경 오류
'Linux > CentOS & RHEL' 카테고리의 다른 글
| [Network] Bonding 구성 인터페이스 교체 절차 (0) | 2020.09.18 |
|---|---|
| [Crontab] Linux Crontab (0) | 2020.09.18 |
| [Network] Ethtool를 이용한 NIC Ring값의 변경방법 (0) | 2020.09.17 |
| [Tip] Local NTP 구성 (0) | 2020.09.11 |
| [Tip] RHEL5.x IPV6 Disable (0) | 2020.09.09 |