pam 模块 设置口令策略对本地和远程都生效 该如何配置

PAM（Pluggable Authentication Modules）是一种灵活且强大的系统级身份验证机制，允许系统管理员通过配置文件来调整系统对用户和服务的认证方式。在Linux系统中，PAM被用来实现口令策略，以确保系统的安全性。如果你想要设置PAM模块以适用于本地登录和远程登录（比如SSH）的口令策略，并且希望这些策略都生效，你需要编辑PAM配置文件并确保它们包含了正确的模块和设置。

以下是一般步骤，但请注意，不同的Linux发行版可能会有不同的默认配置文件名或位置，所以具体的文件名和路径可能会有所变化：

1. 找到PAM的口令管理文件，这通常位于`/etc/pam.d/`目录下。对于本地登录，这可能是`password-auth`或者`system-auth`。对于远程登录，这可能是`sshd`。

2. 编辑相关的PAM配置文件，通常你需要编辑`/etc/pam.d/common-password`（如果你的系统中使用了这个共享配置文件）。

3. 在配置文件中，确保有类似以下的行（或者根据你的需求进行调整）：

   password requisite pam_pwquality.so retry=3 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

这里的`pam_pwquality.so`是一个PAM模块，用于设置密码质量检查。参数解释如下：
- `retry=3`：用户在输入新密码时最多可以尝试3次。
- `minlen=8`：新密码至少要有8个字符。
- `dcredit=-1`：至少包含一个数字。
- `ucredit=-1`：至少包含一个大写字母。
- `lcredit=-1`：至少包含一个小写字母。
- `ocredit=-1`：至少包含一个特殊字符。

4. 如果你的系统使用`pam_cracklib.so`模块来设置口令策略，那么配置可能类似于：

   password required pam_cracklib.so retry=3 minlen=8 difok=3 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

其中`difok=3`表示新密码至少需要与旧密码有3个字符不同。

5. 确保这些设置正确无误后，保存文件并退出编辑器。

6. 测试配置是否生效，你可以尝试改变用户密码，并观察是否符合你设置的策略。