Linux密碼保護：增強系統安全性

一、密碼策略設置

在Linux系統中，通過密碼策略設置可以控制用戶密碼的複雜度、歷史記錄、過期時間等，進一步增強系統的安全性。

為了設置密碼策略，需要修改/etc/login.defs文件中的以下參數：

PASS_MAX_DAYS    90              # 密碼過期時間上限
PASS_MIN_DAYS    7               # 密碼更改時間下限
PASS_WARN_AGE    14              # 提前警告天數
PASS_MIN_LEN     8               # 密碼最小長度

此外，還可以使用pam_cracklib模塊來限制使用弱密碼。在/etc/pam.d/common-password文件中添加以下行即可：

password requisite pam_cracklib.so retry=3 minlen=8 difok=3

二、使用加密算法

在Linux系統中，加密算法主要有MD5、SHA-256和SHA-512三種。

可以通過修改/etc/login.defs文件中的ENCRYPT_METHOD參數來指定使用的加密算法：

ENCRYPT_METHOD SHA512

同時，也可以通過手動修改/etc/shadow文件的方式來更改用戶密碼的加密算法：

user:$6$hBfQbQzkXXz$yYzBJty1w5UgPBEk6AtQ5TTW.kp8f2AgUJpnNw6NEDX8KJv9J82aLJLfxzzf4tCUZbvA6y3LA7qL6xHlLSE/1:18224:0:99999:7:::

上面的例子將用戶的密碼加密算法更改為SHA-512。

三、使用密碼管理工具

為了更好地管理密碼，我們可以使用一些密碼管理工具，如KeePassX和LastPass等。

KeePassX是一款免費、開源的密碼管理軟件，它可以幫助用戶生成強密碼、存儲和保護密碼，並且可以在不同的設備上同步密碼數據庫。

LastPass是一款基於雲的密碼管理服務，它可以在各種設備和平台上使用，允許用戶存儲和共享密碼、信用卡信息、Wi-Fi密碼等敏感數據。

四、禁用SSH密碼登錄

SSH是一款常用的遠程連接工具，但是使用密碼登錄可能會存在風險。

為了增強系統安全性，我們可以禁用SSH密碼登錄，並啟用SSH密鑰認證。

針對Linux系統中的SSH服務，可以通過修改/etc/ssh/sshd_config文件中的以下參數來實現：

PasswordAuthentication no
PubkeyAuthentication yes

上面的例子中，將密碼認證禁用，並啟用公鑰認證。

五、限制密碼重試次數

為了防止暴力破解密碼，我們可以限制密碼重試次數，並在達到限制之後鎖定賬戶。

可以通過/etc/pam.d/system-auth文件中的以下配置來實現：

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900

上面的例子中，設置了最多允許5次密碼重試，超過限制之後將鎖定賬戶15分鐘。

六、總結

通過以上措施，可以增強Linux系統的安全性，保護用戶密碼和敏感數據。

在實際應用中，還需要結合具體的安全需求和風險評估來選擇合適的安全措施。