CentOS Linux 7 安全基线检查之密码参数的配置

CentOS Linux 7 系统默认情况下，允许用户尝试 3 次登录。如果尝试 3 次后仍然失败，则用户将被锁定在系统之外。这种默认设置可能存在一些安全风险。例如，如果攻击者知道用户的用户名，他们可能会反复尝试猜测用户的密码。如果攻击者能够在 3 次内猜出正确的密码，那么他们就能够成功登录到系统。

为了防止这种情况发生，我们可以通过配置 /etc/pam.d/password-auth 和 /etc/pam.d/system-auth 中的 remember 参数来限制密码错误输入的次数。remember 参数允许我们指定用户尝试输入密码的次数。例如，如果我们将 remember 参数设置为 5，那么用户只能尝试 5 次登录。如果尝试 5 次后仍然失败，则用户将被锁定在系统之外。

要配置 remember 参数，我们需要打开 /etc/pam.d/password-auth 和 /etc/pam.d/system-auth 文件。这两个文件都位于 /etc/pam.d/ 目录下。

我们可以使用以下命令来打开 /etc/pam.d/password-auth 文件：

sudo vi /etc/pam.d/password-auth

在 /etc/pam.d/password-auth 文件中，找到以下行：

password sufficient pam_unix.so

在这行的末尾，添加 remember 参数。例如，我们可以将 remember 参数设置为 5，如下所示：

password sufficient pam_unix.so remember=5

保存并关闭 /etc/pam.d/password-auth 文件。

然后，我们可以使用以下命令来打开 /etc/pam.d/system-auth 文件：

sudo vi /etc/pam.d/system-auth

在 /etc/pam.d/system-auth 文件中，找到以下行：

password sufficient pam_unix.so

在这行的末尾，添加 remember 参数。例如，我们可以将 remember 参数设置为 5，如下所示：

password sufficient pam_unix.so remember=5

保存并关闭 /etc/pam.d/system-auth 文件。

现在，我们已经成功地将 remember 参数配置为 5。这意味着用户只能尝试 5 次登录。如果尝试 5 次后仍然失败，则用户将被锁定在系统之外。这将有助于增强系统的安全性，并防止攻击者通过反复猜测密码来登录到系统。