预备知识:Linux-PAM(Linux可插入认证模块) 实验靶机: Kali Linux3 实验步骤: 1.打开终端,进入PAM配置文件夹:cd /etc/pam.d 2.编辑system-auth配置文件,命令:vi system-auth 3.禁止使用旧密码——找到passwo和pam_unix.so的字段并在其后面加上remeber=5(表示禁止使用最近使用过得五个密码) 4.设置最短密码长度——找到同时有password和pam_cracklib.so,(没有自己添加)将其修改为password requisite pam_cracklib.so try_first_pass retry=3 difok=3 minien=10(retry=3改变输入密码的次数,默认是1。difok=3这个参数设置允许新的密码于旧的密码相同字符的个数,即允许相同的个数为3;minlen=,即指密码最小长度为10) 5.设置密码复杂度——在pam_cracklib.so的参数后附加:ucredit=-1(至少包含一个大写字母) lcredit=-2 (两个小写字母)dcredit=-1(一个数字) ocredit=-1(和一个标点) 6.编辑/etc/pam.d/login文件,配置pam锁定多次登录失败的用户,在第一行的下面添加 auth required pam.tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=120 7.创建用户,并赋予密码。输入init 3 切换至终端界面进行登录测试。在root用户下输入pam_tally2 -u test,可以查看登录信息 8.总结:通过对密码长短,复杂程度登录,登录认证次数等相关策略,禁止使用前五次设置过得密码防止社会工程学攻击,设置登录3次失败锁定用户防止暴力破解,可实现对账户的进一步保护。
