服務器安全加固方案：安全策略修改密碼。前段時間根據公司要求對部分服務器進行安全加固，加固內容中有一項是要設置用戶口令周期時間的。事實證明，這個木有任務用處。下面是在虛擬機環境下一個小小滴測試：　　首先，登陸服務器，查看一下/etc/login.def

然后再查看一下/etc/shadow

發現兩者口令策略是完全對的上的。　　然后，我們修改/etc/login.def

第一行，密碼使用最長時間為90天，90天后會有提醒�！　〉诙�行，密碼使用最短時間為10天，10天之內是不能修改密碼的�！　〉谌�行，密碼復雜度，最少8位　　第四行，密碼過期后會提醒5天，5天之后還沒改密碼的話，帳號會被凍結失效�！　⌒薷倪^后，再查看/etc/shadow，發現沒有任何改變。然后我們再 useradd test 添加一個帳號，發現新加的帳號適應修改后的口令周期設置。

經過多次反復測試，發現無論是添加普通帳號還是管理員帳號，還是修改PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE幾個選項，都只適用于后來添加的帳號，對于之前已經存在的帳號不存在任何影響。

同事修改linux root密碼時出現錯誤passwd: Authentication token manipulation error發生該錯誤原因是：1、分區沒有空間導致。2、/etc/passwd 和/etc/shadow不同步但是這次上面兩條卻行不通，通過df查看根分區還有40%剩余。 1、嘗試修改密碼，出現錯誤# passwdChanging password for user root.New UNIX password: BAD PASSWORD: it is WAY too shortRetype new UNIX password: passwd: Authentication token manipulation error2、同步/etc/passwd 和/etc/shadow出錯 #pwconvpwconv: can't lock passwd file3、看權限沒有異常，也沒有進程鎖定該文件# ll /etc/passwd-rwxr--r-- 1 root root 2752 Dec 31 17:29 /etc/passwd# fuser -u /etc/passwd# lsof |grep passwd4、cp lock文件出錯，提示空間不足# cp /tmp/.pwd.lock /etc/cp: cannot create regular file `/etc/.pwd.lock': No space left on device5、上面的錯誤驚醒了我，查看確實是inode滿了，刪除無用的文件#df -iFilesystem Inodes IUsed IFree IUse% Mounted on/dev/sda5 2562240 2562240 0 100% //dev/sda1 50200 47 50153 1% /boot/dev/sda2 51300000 12 51299988 1% /data/cache1/dev/sdb1 51300000 7080311 44219689 14% /data/cache2/dev/sdb2 9863168 11 9863157 1% /data/proclognone 215907 1 215906 1% /dev/shm/dev/sda3 3842720 305795 3536925 8% /usr/dev/sda7 3162112 7893 3154219 1% /var6、再次修改密碼仍然出錯，于是嘗試修改/etc/passwd也出現錯誤# chmod 777 /etc/passwdchmod: changing permissions of `/etc/passwd': Operation not permitted7、執行chattr #chattr -i /etc/passwd# lsattr -v /etc/passwd 2095582053 ------------- /etc/passwd# chattr -i /etc/shadow8、同步文件pwconv9、成功修改密碼passwd Changing password for user root.New UNIX password: BAD PASSWORD: it is WAY too shortRetype new UNIX password: passwd: all authentication tokens updated successfully.#

修改密碼時提示錯誤[root@WS10111509 ~]# passwd rootChanging password for user root.New UNIX password:Retype new UNIX password:passwd: Authentication token manipulation error

2,修改權限時提示錯誤[root@WS10111509 ~]# chmod 755 /etc/passwdchmod: changing permissions of `/etc/passwd’: Operation not permitted

3，同步/etc/passwd 和/etc/shadow出錯#pwconvpwconv: can’t lock passwd file

4，操做方法。檢查：# fuser -u /etc/passwd //查看是否有寫入權限# lsof |grep passwd //查看是否有寫入權限# ll /etc/.pwd.lock //查看是否有此文件# df -i //查看是否空間被占滿# lsattr /etc/shawr //查看是否被寫保護

lsattr /etc/passwd—i———- //被標記了i屬性

chattr -i /etc/passwdchmod 755 /etc/passwd

lsattr /etc/shawr—-i——– //被標記了i屬性

chattr -i /etc/shawchmod 755 /etc/shaw

#pwconv 同步/etc/passwd 和/etc/shadow

pawsswd root 不會出錯了。修改密碼后

5，加回保護

#chattr命令只能管理員使用，重新保護passwd文件chattr +i /etc/passwdchattr +i /etc/shaw

還有一種可能就是有的系統是限制了5天內不能修改密碼，也會出現這樣的錯誤。

基本的修改密碼命令

1、passwd 簡單說明;

我們已經學會如何添加用戶了，所以我們還要學習設置或修改用戶的密碼;passwd命令的用法也很多，我們只選如下的幾個參數加以說明;想了解更多，請參考man passwd或passwd --help ;

[OPTION...]

passwd 作為普通用戶和超級權限用戶都可以運行，但作為普通用戶只能更改自己的用戶密碼，但前提是沒有被root用戶鎖定;如果root用戶運行passwd ，可以設置或修改任何用戶的密碼;

passwd 命令后面不接任何參數或用戶名，則表示修改當前用戶的密碼;請看下面的例子;

[[email protected]

~]# passwd注：沒有加任何用戶，我是用root用戶來執行的passwd 表示修改root用戶的密碼;下面也有提示;

Changing password for user root.

New UNIX password: 注：請輸入新密碼;

Retype new UNIX password: 注：驗證新密碼;

passwd: all authentication tokens updated successfully. 注：修改root密碼成功;

如果是普通用戶執行passwd 只能修改自己的密碼;

如果新建用戶后，要為新用戶創建密碼，則用 passwd 用戶名 ，注意要以root用戶的權限來創建;

[

~]# passwd beinan注：更改或創建beinan用戶的密碼;

Changing password for user beinan.

New UNIX password: 注：請輸入新密碼;

Retype new UNIX password: 注：再輸入一次;

passwd: all authentication tokens updated successfully. 注：成功;

普通用戶如果想更改自己的密碼，直接運行passwd即可;比如當前操作的用戶是beinan;

[

~]$ passwd

Changing password for user beinan. 注：更改beinan用戶的密碼;

(current) UNIX password: 注：請輸入當前密碼;

New UNIX password: 注：請輸入新密碼;

Retype new UNIX password: 注：確認新密碼;

passwd: all authentication tokens updated successfully. 注：更改成功;

2、passwd 幾個比較重要的參數;

[

beinan]# passwd --help

Usage: passwd [OPTION...]

-k, --keep-tokens keep non-expired authentication tokens

注：保留即將過期的用戶在期滿后能仍能使用;

-d, --delete delete the password for the named account (root only)

注：刪除用戶密碼，僅能以root權限操作;

-l, --lock lock the named account (root only)

注：鎖住用戶無權更改其密碼，僅能通過root權限操作;

-u, --unlock unlock the named account (root only)

注：解除鎖定;

-f, --force force operation

注：強制操作;僅root權限才能操作;

-x, --maximum=DAYS maximum password lifetime (root only) 注：兩次密碼修正的最大天數，后面接數字;僅能root權限操作;

-n, --minimum=DAYS minimum password lifetime (root only) 注：兩次密碼修改的最小天數，后面接數字，僅能root權限操作;

-w, --warning=DAYS number of days warning users receives before 注：在距多少天提醒用戶修改密碼;僅能root權限操作;

password expiration (root only)

-i, --inactive=DAYS number of days after password expiration when an 注：在密碼過期后多少天，用戶被禁掉，僅能以root操作;

account becomes disabled (root only)

-S, --status report password status on the named account (root 注：查詢用戶的密碼狀態，僅能root用戶操作;

only)

--stdin read new tokens from stdin (root only)

比如我們讓某個用戶不能修改密碼，可以用-l 參數來鎖定：

[

~]# passwd -l beinan注：鎖定用戶beinan不能更改密碼;

Locking password for user beinan.

passwd: Success 注：鎖定成功;

[[email protected] ~]# su beinan 注：通過su切換到beinan用戶;

[[email protected] ~]$ passwd 注：beinan來更改密碼;

Changing password for user beinan.

Changing password for beinan

(current) UNIX password: 注：輸入beinan的當前密碼;

passwd: Authentication token manipulation error 注：

，不能更改密碼;

再來一例：

[

~]# passwd -d beinan注：清除beinan用戶密碼;

Removing password for user beinan.

passwd: Success 注：清除成功;

[[email protected]

~]# passwd -S beinan注：查詢beinan用戶密碼狀態;

Empty password. 注：空密碼，也就是沒有密碼;

注意： 當我們清除一個用戶的密碼時，登錄時就無需密碼;這一點要加以注意;

3、chage 修改用戶密碼有效期限的命令;

chage 用語法格式：

chage [-l] [-m 最小天數] [-M 最大天數] [-W 警告] [-I 失效日] [-E 過期日] [-d 最后日] 用戶

前面已經說的好多了，這個只是一筆帶過吧，知道有這個命令就行，自己實踐實踐再說，大體和psswd有些參數的用法差不多;

密 碼時效命令-----chage

格式為：chage []

下面列出了chage命令的選項說明：

-m days： 密碼可更改的最小天數。為零時代表任何時候都可以更改密碼。

-M days： 指定口令有效的最多天數。當該選項指定的天數加上-d選項指定的天數小于當前的日期時，用戶在使用該帳號前就必須改變口令。

-d days： 指定從1970年1月1日起，口令被改變的天數。

-I days： 指定口令過期后，帳號被鎖前不活躍的天數。如果值為0，帳號在口令過期后就不會被鎖。

-E date： 指定帳號被鎖的日期。日期格式YYYY-MM-DD。若不用日期，也可以使用自1970年1月1日后經過的天數。

-W days： 指定口令過期前要警告用戶的天數。

-l： 列出指定用戶當前的口令時效信息，以確定帳號何時過期。

例如下面的命令要求用戶user1兩天內不能更改口令，并且口令最長的存活期為30天，并且口令過期前5天通知用戶

chage -m 2 -M 30 -W 5 user1

可以使用如下命令查看用戶user1當前的口令時效信息：chage -l user1

提示：1)可以使用chage 進入交互模式修改用戶的口令時效。

2)修改口令實質上就是修改影子口令文件/etc/shadow中與口令時效相關的字段值。

強制用戶在下次登錄時修改密碼

每個Linux用戶都關聯這不同的密碼相關配置和信息。比如，記錄著上次密碼更改的日期、最小/最大的修改密碼的天數、密碼何時過期等等。

一個叫chage的命令行工具可以訪問并調整密碼過期相關配置。你可以使用這個工具來強制用戶在下次登錄修改密碼、

要查看特定用戶的過期信息(比如：alice)，運行下面的命令。注意的是除了你自己之外查看其他任何用戶的密碼信息都需要root權限。

$ sudo chage -l alice

強制用戶修改密碼

如果你想要強制用戶去修改他/她的密碼,使用下面的命令。

$ sudo chage -d

原本“-d ”參數是用來設置密碼的“年齡”(也就是上次修改密碼起到1970/1/1起的天數)。因此“-d0”的意思是上次密碼修改的時間是1970/1/1，這就讓當前的密碼過期了，也就強制讓他在下次登錄的時候修改密碼了。

另外一個過期當前密碼的方式是用passwd命令。

$ sudo passwd -e

上面的命令和“chage -d0”作用一樣，讓當前用戶的密碼立即過期。

現在檢查用戶的信息，你會發現：

當你再次登錄時候，你會被要求修改密碼。你會在修改前被要求再驗證一次當前密碼。