CentOS 7实施密码策略

在CentOS 7中，可以通过修改配置文件来实施密码策略，包括密码过期策略和密码复杂度要求。以下是具体的步骤：

一、用户账户安全加固

1. 修改用户密码策略
   编辑配置文件/etc/login.defs，修改以下配置项：

PASS_MAX_DAYS 90  # 用户的密码不过期最多的天数，90天为默认值，也可以根据需要进行调整。
PASS_MIN_DAYS 0  # 密码修改之间最小的天数，0表示没有最小时间间隔限制。

修改完成后保存配置文件。

1. 设置密码复杂度要求
   编辑配置文件/etc/security/pwquality.conf，设置以下参数：

minlen=8  # 设置密码的最小长度为8个字符。
dcredit=-1  # 设置密码中包含的最小数字个数至少为1个。
ucredit=-1  # 设置密码中包含的最小大写字母个数至少为1个。
lcredit=-1  # 设置密码中包含的最小小写字母个数至少为1个。
ocredit=-1  # 设置密码中包含的最小其他字符个数至少为1个。

修改完成后保存配置文件。

1. 更新已存在的用户密码策略
   对于已存在的用户，可以使用chage命令来更新其密码策略。例如，要更新用户名为username的用户的密码策略，可以执行以下命令：

sudo chage -M 90 username  # 设置用户名为username的用户的密码有效期为90天。
sudo chage -m 0 username  # 设置用户名为username的用户的密码修改间隔为0天，即没有最小时间间隔限制。

重复以上步骤，可以更新其他已存在的用户的密码策略。
二、应用新策略到所有新建用户
默认情况下，新创建的用户会继承系统默认的密码策略。如果需要将新策略应用到所有新建用户，可以在创建新用户时使用-M和-m选项来指定密码有效期和修改间隔。例如：

sudo useradd -M username  # 在创建新用户时设置其密码有效期为90天。
sudo passwd username  # 为新用户设置密码。

三、注意事项
在实施密码策略时，请注意以下几点：

1. 在修改配置文件之前，务必备份原始文件，以防止意外情况发生。
2. 确保设置的密码复杂度要求符合组织的密码政策，以保障系统的安全性。
3. 对于已存在的用户，可以使用chage命令来更新其密码策略，但无法强制要求他们更改现有密码。因此，在实施新策略时，应提醒用户及时更改不符合要求的旧密码。
4. 在实施新策略后，对于不满足要求的旧密码，系统会在下次登录时提示用户进行更改。但需要注意的是，如果用户的旧密码是唯一的登录方式，那么在旧密码过期后，他们可能会无法登录系统。因此，在实施新策略时，应考虑为用户提供合理的过渡期和提醒机制。