# find / -type f \( -perm -1000 -o -perm -2000 -o -perm -4000 \) -print[步骤] Linux 密码的安全 (设置密码复杂度和加密算法) (CentOS Linux 8 & RHEL 8 版)
步骤一:设置密码必须包含大小写字母等策略
# vim /etc/security/pwquality.conf将部分内容修改如下:
......
minlen = 15
......
dcredit = -1
......
ucredit = -1
......
lcredit = -1
......
ocredit = -1
......
dictcheck = 1
......
usercheck = 1
......(
补充:这里以
1) 密码最小长度为 15 个字符 (minlen = 15)
2) 密码必须包含数字的个数 (dcredit = -1)
3) 密码必须包含大写字母的个数 (ucredit = -1)
4) 密码必须包含小写字母的个数 (lcredit = -1)
5) 密码必须包含特殊字符的个数 (ocredit = -1)
6) 密码不能包含字典 (dictcheck = 1)
7) 密码不能包含用户 (usercheck = 1)
为例
)
步骤二:设置新密码不能和旧密码重复的策略以及加密算法
2.1 配置 authselect 自定义认证
2.1.1 检查是否选择了 authselect 自定义认证
# authselect current | awk 'NR == 1 {print $3}' | grep custom/
custom/password-policy(
补充:
(1)如果这条命令里没有输出则代表没有选择自定义认证
(2)从这里的输出结果可以看出这里选择的自定义认证是 custom/password-policy
)
2.1.2 如果 authselect 自定义认证存在
2.1.2.1 修改 /etc/authselect/custom/password-policy/system-auth 配置文件
# vim /etc/authselect/custom/password-policy/system-auth将以下内容:
......
password requisite pam_pwquality.so ......
......
password sufficient pam_unix.so ......
......修改为:
......
password requisite pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......(
补充:这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
)
2.1.2.2 修改 /etc/authselect/custom/password-policy/password-auth 配置文件
# vim /etc/authselect/custom/password-policy/password-auth将以下内容:
......
password requisite pam_pwquality.so ......
......
password sufficient pam_unix.so ......
......修改为:
......
password requisite pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......(
补充:这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
)
2.1.3 如果 authselect 自定义认证不存在
2.1.3.1 生成新的 authselect 自定义认证
2.1.3.1.1 备份当前的 authselect 自定义认证
# authselect apply-changes -b --backup=sssd.backup(补充:这里以创建 sssd.backup 备份文件为例)
2.1.3.1.2 创建新的 authselect 自定义认证
# authselect create-profile password-policy -b sssd --symlink-meta --symlink-pam(补充:这里以生成名为 password-policy 的自定义认证为例)
2.1.3.1.3 选择新的 authselect 自定义认证
2.1.3.1.3.1 选择新的 authselect 自定义认证
# authselect select custom/password-policy with-sudo with-faillock without-nullok with-mkhomedir --force(
补充:
1) 这里以选择名为 password-policy 的自定义认证为例
2) 这里设置了 with-sudo、with-faillock、without-nullok 和 with-mkhomedir 参数
)
(注意:使用了 with-mkhomedir 参数后,会提示需要开启 oddjobd)
2.1.3.1.3.2 满足选择新的 authselect 自定义认证时 with-mkhomedir 参数的要求
# dnf install oddjob ; systemctl enable --now oddjobd.service2.1.3.1.4 显示当前选择的 authselect 自定义认证
# authselect current(补充:这里以生成并选择名为 password-policy 的自定义认证为例)
2.1.3.2 修改 authselect 自定义认证
2.1.3.2.1 修改 /etc/authselect/custom/password-policy/system-auth 配置文件
# vim /etc/authselect/custom/password-policy/system-auth将以下内容:
......
password requisite pam_pwquality.so ......
......
password sufficient pam_unix.so ......
......修改为:
......
password requisite pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......(
补充:这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
)
2.1.3.2.2 修改 /etc/authselect/custom/password-policy/password-auth 配置文件
# vim /etc/authselect/custom/password-policy/password-auth将以下内容:
......
password requisite pam_pwquality.so ......
......
password sufficient pam_unix.so ......
......修改为:
......
password requisite pam_pwhistory.so try_first_pass local_users_only enforce-for-root remember=5 use_authtok ......
......
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=24 use_authtok ......
......(
补充:这里以
1) 新密码不能和前 5 个旧密码重复
2) 使用 SHA512 哈希算法加密密码
为例
)
2.2 让配置的 authselect 自定义配置认证生效
# authselect apply-changes(注意:此步骤会刷新 /etc/authselect/system-auth 配置文件和 /etc/authselect/password-auth 配置文件)
步骤三:设置加密算法
# vim /etc/login.defs将以下内容:
......
ENCRYPT_METHOD ......
......修改为:
......
ENCRYPT_METHOD SHA512
......(补充:这里以使用 SHA512 哈希算法加密密码为例)
[工具] Shell 批量修改多个远程服务器某个用户的过期密码
介绍
基本信息
作者:朱明宇
名称:批量修改多个远程服务器某个用户的过期密码
作用:批量修改多个远程服务器某个用户的过期密码
使用方法
1. 将此脚本和清单 $list 文件放在同一目录下
2. 清单 $list 里每个远程服务器名或 IP 地址占用 1 行
3. 在此脚本的分割线内写入相应的内容
4. 在执行此脚本的系统上安装 expect
5. 给此脚本添加执行权限
6. 执行此脚本
脚本分割线里的变量
1. oldpassword=123 #原密码
2. newpassword=abc #新密码
3. user=root #要修改密码的用户
4. list=servers.txt #指定服务器清单
脚本
#!/bin/bash
####################### Separator ########################
oldpassword=123
newpassword=abc
user=root
list=servers.txt
####################### Separator ########################
set timeout 5
for i in `cat $list`
do
echo $i
ssh $i "whoami"
if [ $? -eq 0 ];then
continue
fi
expect << EOF
spawn ssh $user@$i
expect "Current password:" {send "$oldpassword\r"}
expect "New password:" {send "$newpassword\r"}
expect "Retype new password:" {send "$newpassword\r"}
expect ">" {send "\r"}
EOF
echo
done[步骤] Samba 的登录 (免密)
# vim /etc/samba/smb确保有以下内容:
......
security = user
map to guest = bad user
......
guest ok = yes
......[内容] Ansible 变量的优先级
第 1 优先级
全局范围的变量(例如:执行临时命令时指定的变量)
第 2 优先级
Playbook 里的变量。
第 3 优先级
主机范围里的变量(例如:清单中的服务器或服务器组)
(补充:清单中的服务器优先级高于清单中的服务器组)