為符合資安ISO27001驗證，須針對系統帳號進行安全設定。

資安規範：
密碼管理系統應為互動式: 強度太低會告知密碼強度不足
密碼長度至少8字元
複雜度要求: (大小寫、英數……)
最長天數: 90
最短天數: 1
驗證失敗機制:失敗5次上鎖15分鐘
密碼代數: 不能與前三代相同

一、先變更 authselect 的原始設定模板

[root@rhel]#vi /usr/share/authselect/default/sssd/system-auth

把
auth required pam_faillock.so preauth silent {include if “with-faillock”}
改成
auth required pam_faillock.so preauth {include if “with-faillock”}
(這個改了之後，可以讓/etc/security/faillock.conf裡面silent設定有作用，不然一載入時就有silent參數，faillock.conf裡面的silent就失去作用了)

找到
password requisite pam_pwquality.so local_users_only
在後面加一行
password requisite pam_pwhistory.so remember=3 use_authtok
(這行處理密碼代數不能與前三代相同，use_authtok是設定當密碼變更時，強制模組設定此新密碼給先前PAM堆疊所使用的密碼模組)

二、透過 authselect 啟用faillock模組，並套用新設定

[root@rhel]#authselect enable-feature with-faillock
[root@rhel]#authselect apply-changes

三、修改 faillock.conf 設定

[root@rhel]#vi /etc/security/faillock.conf
    deny = 5
    unlock_time = 900

(此設定處理驗證失敗機制，失敗5次上鎖15分鐘)

四、修改 pwquality.conf 設定

[root@rhel]#vi /etc/security/pwquality.conf
    minlen = 8(此設定處理密碼長度至少8字元)
    minclass = 4(此設定處理密碼複雜度字元種類要求)

五、修改 login.defs 設定

[root@rhel]#vi /etc/login.defs
    PASS_MAX_DAYS   90(此設定處理密碼最長天數90天)
    PASS_MIN_DAYS   1(此設定處理密碼最短天數1天)