為符合資安ISO27001驗證,須針對系統帳號進行安全設定。
資安規範:
密碼管理系統應為互動式: 強度太低會告知密碼強度不足
密碼長度至少8字元
複雜度要求: (大小寫、英數……)
最長天數: 90
最短天數: 1
驗證失敗機制:失敗5次上鎖15分鐘
密碼代數: 不能與前三代相同
一、先變更 authselect 的原始設定模板
[root@rhel]#vi /usr/share/authselect/default/sssd/system-auth
把
auth required pam_faillock.so preauth silent {include if “with-faillock”}
改成
auth required pam_faillock.so preauth {include if “with-faillock”}
(這個改了之後,可以讓/etc/security/faillock.conf裡面silent設定有作用,不然一載入時就有silent參數,faillock.conf裡面的silent就失去作用了)
找到
password requisite pam_pwquality.so local_users_only
在後面加一行
password requisite pam_pwhistory.so remember=3 use_authtok
(這行處理密碼代數不能與前三代相同,use_authtok是設定當密碼變更時,強制模組設定此新密碼給先前PAM堆疊所使用的密碼模組)
二、透過 authselect 啟用faillock模組,並套用新設定
[root@rhel]#authselect enable-feature with-faillock [root@rhel]#authselect apply-changes
三、修改 faillock.conf 設定
[root@rhel]#vi /etc/security/faillock.conf deny = 5 unlock_time = 900
(此設定處理驗證失敗機制,失敗5次上鎖15分鐘)
四、修改 pwquality.conf 設定
[root@rhel]#vi /etc/security/pwquality.conf minlen = 8(此設定處理密碼長度至少8字元) minclass = 4(此設定處理密碼複雜度字元種類要求)
五、修改 login.defs 設定
[root@rhel]#vi /etc/login.defs PASS_MAX_DAYS 90(此設定處理密碼最長天數90天) PASS_MIN_DAYS 1(此設定處理密碼最短天數1天)