如何通过代码自定义密码策略 如何在Linux为系统用户设置密码复杂度策略？

这是linux密码策略决定的，所以建议使用大写数字的特殊符号，可以更改。

1.使用配置文件

该文件由以下几行组成:

服务名称模块类型控制标志模块路径参数

Service-name服务的名称，例如telnet、login、ftp等。服务名称 "其他 "表示此文件中未显式配置的所有其他服务。

模块类型有四种:auth、account、session、password，分别对应PAM支持的四种管理。同一个服务可以调用多个PAM模块进行认证，这些模块形成一个栈。

Control-flag用于告诉PAM库如何处理与该服务相关的PAM模块的成功或失败。它有四个可能的值:必需的、必需的、正式的和可选的。

Required表示该模块必须返回成功，然后才能通过身份验证。但是，如果模块失败，用户不会立即得到失败结果的通知，而是要等到同一堆栈中的所有模块都执行完之后，才会将失败结果返回给应用程序。可以认为是必要条件。

Required类似于required，模块必须返回success才能通过认证，但是一旦模块返回failure，就不再执行同一个栈中的任何。模块，而是直接将控制权返回给应用程序。是必要条件。注意:这仅受RedHat支持，不受Solaris支持。

充分表示该模块成功足以通过身份认证的要求，不需要执行同一个栈中的其他模块，但如果该模块返回失败可以忽略。可以认为是充分条件。

Optional表示这个模块是可选的，它的成功一般不会在认证中起到关键作用，它的返回值一般被忽略。

对于控制标志，Linux-PAM-0.63支持一种新的语法。详情请参考LinuxPAM文档。

Module-path用于表示该模块对应的程序文件的路径名。一般采用绝对路径。如果没有给出绝对路径，默认情况下，该文件位于目录/usr/lib/security下。

参数是用于传递给模块的参数。一般来说，每个模块的参数都是不同的，可以由模块的开发者定义，但是有几个通用的参数:

调试模块应该使用syslog()将调试信息写入系统日志文件。

No_warn表示模块不应该向应用程序发送警告信息。

Use_first_pass表示模块不能提示用户输入密码，而应该使用前一模块从用户处获得的密码。

Try_first_pass表示该模块首先使用前一模块从用户处获得的密码，如果密码验证失败，将提示用户输入新密码。

Use_mapped_pass该模块不能提示用户输入密码，而是使用映射的密码。

Expose_account允许模块显示用户 的帐户名等信息，这些信息只能在安全的环境下使用，因为泄露用户名会对安全造成一定程度的威胁。

2.使用配置目录/etc/pam.d/(仅适用于RedHatLinux)。

该目录中每个文件的名称对应于服务名，例如，ftp服务对应于文件/etc/pam.d/ftp。如果与名为xxxx的服务对应的配置文件/etc/pam.d/xxxx不存在，该服务将使用默认的配置文件/etc/pam.d/other。每个文件由以下格式的文本行组成:

模块类型控制标志模块路径参数

每个字段的含义与中的相同。

由于该公司使用RedHat s Linux，我会用pam.d作为配置目录。密码复杂性是通过文件/etc/pam.d/system-auth实现的，所以让 让我们看看默认的内容是什么，然后备份此文件:

在本文档中，我们将使用pam_ module。Pam_是一个常用且非常重要的Pam模块。该模块的主要功能是检测用户密码的鲁棒性。即检查和限制用户自定义密码的长度、复杂性和历史记录。不符合上述强度的密码将被拒绝。

Pam_比较重要，也比较难理解，但是有一些参数和计数方法。其通用参数包括:

调试:将调试信息写入日志；

Type=xxx:增加/修改密码时，系统默认提示为 "newunixpasswordcho 6-@ . com "和 "R: "，并使用此参数自定义密码提示，如指定type = yourownword；

Retry=N:定义登录/密码修改失败时重试的次数；

Difok=N:新密码中的几个字符必须与旧密码不同。但如果新密码中有超过1/2的字符与旧密码不同，则新密码将被接受；

Minlen=N:定义用户密码的最小长度；

Dcredit=N:定义用户密码必须包含多少位数字；

Ucredit=N:定义用户密码必须包含多少个大写字母；

Lcredit=N:定义用户密码必须包含多少个较小的字母；

Ocredit=N:定义用户密码必须包含多少个特殊字符(数字和字母除外)。