阿里云标准：CentOS 6安全基线设置与密码策略详解

阿里云标准对于运行在CentOS Linux 6环境下的系统，重视安全性是必不可少的。本指南针对以下几个关键安全基线进行检查和设置： 1. 密码策略： - 密码失效时间：为了增强密码管理，建议在/etc/login.defs文件中设置PASS_MAX_DAYS参数，将其值设置在60至180天之间，例如`PASS_MAX_DAYS=180`。同时，执行`chage --maxdays 180 root`来设置root用户的密码失效时间。 - 密码修改间隔：通过调整PASS_MIN_DAYS参数，确保密码至少7天后才能再次修改，设置值为`PASS_MIN_DAYS=7`，并使用`chage --mindays 7 root`为root用户配置。 2. 密码复杂度： - 编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth配置文件，添加`password requisite pam_cracklib.so`行，设置密码的最小长度(minlen)为9到32位，至少包含小写字母、大写字母、数字和特殊字符中的三种或四种类型（minclass=3或4）。例如：`password requisite pam_cracklib.so try_first_pass retry=3 minlen=10 minclass=4`。 3. 密码重用检测： - 检查密码是否受到重用限制，通过在`password sufficient pam_unix.so`行末尾添加`remember`参数，值应在5到24之间，如`remember=5`。但在此处提醒，此设置与CentOS 7有所不同，可能需要根据实际需求进行调整。 检查这些设置的方法包括使用以下命令： - 检查密码最大失效天数：`grep '^PASS_MAX_DAYS' /etc/login.defs` - 检查root密码失效时间：`chage -l root | egrep -i 'maximum'` - 检查密码最小修改间隔：`grep '^PASS_MIN_DAYS' /etc/login.defs` - 检查密码复杂度：`find -name pam_cracklib.so -print` 和 `grep -i 'password' /etc/pam.d/password-auth|grep -irequisite` 以及 `/etc/pam.d/system-auth|grep -irequisite` - 检查密码重用限制：`grep -i '^password' /etc/pam.d/password-auth` 遵循这些安全基线可以有效提高CentOS Linux 6系统的安全性，减少潜在的威胁和风险。务必定期执行这些检查，以确保系统始终符合阿里云的安全标准。