用戶口令複雜度策略設置<<銀河麒麟>>

1.密碼最長使用天數7天
1）方法一：管理員執行sudo chage -M 7 test    //設置test用戶密碼最長使用天數爲7天
2）方法二：修改/etc/login.defs文件PASS_MAX_DAYS值爲７，則以後建立的系統用戶其密碼最長使用天數7天

2.密碼最短使用天數0天
1）方法一：管理員執行sudo chage -m 0 test   //設置test用戶密碼最短使用天數爲0天
2）方法二：修改/etc/login.defs文件PASS_MIN_DAYS值爲0,則以後建立的系統用戶密碼最短使用天數爲0天

3.最小密碼長度10位
密碼中最少數字個數1
密碼中最少大寫字母個數１
密碼中最少小寫字母個數1
1）管理員先安裝libpam-cracklib包執行
sudo dpkg -i libpam-cracklib_1.1.8-3kord4_arm64.deb
2）再修改/etc/pam.d/common-password文件pam_cracklib.so行改成：
password        requisite        pam_cracklib.so  retry=3 minlen=10 difok=3 dcredit=-1 ucredit=-1 lcredit=-1
說明：1）dcredit針對數字，ucredit針對大寫字母，lcredit針對小寫字母
      2）負數表示至少的個數，正數表示最多的個數，-1表示至少1位

4.密碼出錯機會小於等於５次，５次登錄失敗後鎖定10分鐘
1）在/etc/pam.d/lightdm-greeter、/etc/pam.d/login和/etc/pam.d/sshd文件中第一行添加以下內容：
auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600 audit
說明：以上文件分別針對圖形、本地字符、遠程ssh登錄情形，密碼出錯機會小於等於５次，５次登錄失敗後鎖定10分鐘

5.設置自動註銷時間10分鐘
1）情形一：在/etc/profile最後添加：TMOUT=600。該狀況是針對字符終端和ssh遠程登錄有效
2）情形二：對於圖形登錄的終端窗口註銷須要修改用戶主目錄下的.bashrc文件，增長TMOUT=600。

6.與系統管理員確認沒必要要的系統帳號、FTP等服務的帳號，對不須要的帳號進行鎖定
usermod --expiredate 1 test   (經過設置test帳戶的過時時間爲1970年1月2日，實現帳戶的註銷)


7.限制可以su到root的用戶
系統用戶中默認sudo用戶組和admin用戶組的用戶能夠經過sudo執行任何命令包括su（sudo su）,
因此限制用戶加入sudo、admin用戶組便可限制可以su到root的用戶。
假設系統存在普通用戶test，只在test組裏；
管理員用戶執行sudo usermod -a -G sudo test，將test用戶加入sudo組；
管理員用戶執行sudo usermod -G test test，將test用戶從sudo組移除；