华为欧拉系统配置PAM策略

华为欧拉服务器操作系统软件 V2.0 安全说明手册 04
华为欧拉系统设置登录次数限制有区别于centos设置登录限制

维护PAM策略

本系统使用Linux-PAM实现用户的身份鉴别、口令复杂度控制、登录阈值设置等。PAM主要是由一组共享库文件（在/lib64/security/目录下）和一些配置文件（在/etc/pam.d/目录下）组成的。

系统管理员可以根据维护需要对PAM策略进行修改。

口令复杂度维护

系统默认的设置口令复杂度如下：

口令长度至少8个字符。
口令至少包含“小写字母（a-z）、大写字母（A-Z）、数字（0-9）、特殊字符”中的任意3种。
口令不能和账户或者账户的倒写一样。
不能修改为过去5次使用过的旧口令。
口令不能使用字典词汇。
用户在设置root账户口令或者新创建账户口令时，强烈建议按照密码复杂度要求设置。根据维护需要，系统管理员通过修改/etc/pam.d/system-auth和/etc/pam.d/password-auth的pam_pwquality.so和pam_pwhistory.so配置来重新设置口令复杂度，但是如果关闭复杂度配置会导致安全风险。修改策略根据实际情况谨慎决策，建议用户使用EulerOS如下默认配置：
表3-12 pam_pwquality.so配置项说明

表3-13 pam_pwhistory.so配置项说明

口令复杂度维护操作说明

以修改口令长度为例，操作步骤如下

修改/etc/pam.d/system-auth和/etc/pam.d/password-auth文件的pam_pwquality.so后的minlen字段的值，如下：

minlen=10
1

口令长度至少为10位。

保存并退出/etc/pam.d/system-auth和/etc/pam.d/password-auth文件。
登录出错阈值维护
系统设置默认的登录出错阈值为3次（若连续登录出错次数超过3次，则账户被锁定5分钟）。用户锁定期间，任何输入被判定为无效，锁定时间不因用户的再次输入而刷新；解锁后，用户的错误输入记录被清空。

根据维护需要，系统管理员通过修改/etc/pam.d/system-auth和/etc/pam.d/password-auth的pam_faillock.so配置来重新设置登录出错阈值，pam_faillock.so配置项如下。

系统管理员在登录系统后可以通过执行“faillock --user XXXX --reset”命令来清空用户登录出错的次数记录（XXXX是对应的用户名）。

登录出错阈值维护操作说明

口令输错次数记录清空操作步骤如下：
使用root用户登录系统。
执行如下命令，清空口令输错次数记录。也可以清除指定用户的错误次数记录。

faillock --user XXXX --reset
1

修改出错阈值的操作步骤如下：
修改/etc/pam.d/system-auth和/etc/pam.d/password-auth文件的pam_faillock.so后的deny字段的值：deny=5。设置出错阈值为5次，即连续登录出错次数超过5次后账户被锁定300秒。
保存并退出/etc/pam.d/system-auth和/etc/pam.d/password-auth文件。

su权限维护

系统默认只允许root和wheel群组的用户使用su命令，限制其他用户使用su命令。

根据维护需要，系统管理员可以授予、回收其他用户使用su命令的权限，操作如下：

查看当前具有su权限的用户。

cat /etc/group | grep wheel | cut -d : -f 4
1

各用户间以“,”分隔。

授予su权限。
groupmems -g wheel -a user
1
2

user为允许使用su命令的用户。

回收su权限。

groupmems -g wheel -d user
1