在服务器管理中，密码安全是保护系统免受恶意入侵的关键防线。CentOS作为一款广泛使用的企业级Linux发行版，提供了丰富的密码策略配置选项。本文将从密码复杂度、有效期、历史记录等多个维度，详细介绍如何通过系统设置提升账户安全性，并结合实际运维经验给出实用建议。

CentOS默认遵循PAM（可插拔认证模块）的密码策略，管理员可以通过调整以下配置文件来优化规则：

密码长度与复杂度

建议密码长度至少为12个字符（官方最低要求为8字符）。

密码必须包含至少1个大写字母、1个小写字母、1个数字以及1个特殊符号（如!@#$%）。

示例：避免使用连续字符或常见短语的强密码。

过滤常见弱密码

系统内置字典库会过滤高风险组合。

可以通过自定义规则进一步过滤，参数说明中负值表示至少需要的数量。

有效期控制

通过修改文件来设定密码的最长使用周期。

执行命令可以单独调整特定账户的密码策略。

历史记录限制

在配置文件中添加相关设置，禁止用户重复使用最近的5次密码。

失败锁定策略

实施连续5次密码错误后账户自动锁定10分钟的策略，以抵御暴力破解攻击。

为了进一步加固安全，可以采取以下措施：

使用密钥认证替代密码

对于高权限账户，建议禁用密码登录，改用SSH密钥认证。

生成密钥对并配置相关系统文件。

审计与监控

使用命令查看失败的登录记录。

通过服务监控敏感文件的修改行为。

定期运行检测弱密码的工具。

特权账户管理

禁止root用户直接登录，改用普通用户并通过sudo提权。

为不同服务创建独立的系统账户，并限制其权限范围。

在密码的管理和传输方面：

密码存储与保护

禁止明文记录密码，使用Vault或加密工具进行密码管理。

临时共享密码应通过安全信道传输，且使用后立即重置。

定期维护流程

每季度执行一次密码策略审计。

离职员工的账户应在24小时内禁用。

应急响应准备

保留离线密码重置介质，如Live USB。

制定账户锁定的应急预案，避免误操作导致业务中断。

值得注意的是，密码策略的实施并不仅仅是一项技术任务。为了更好地发挥作用，需要与管理制度相结合。作为系统管理员，需要定期评估策略的有效性，例如检查是否有用户通过简单的变形来绕过规则。此外，建议对团队成员开展安全意识培训，避免人为疏漏削弱防护体系。在云原生环境下，可以进一步整合IAM（身份访问管理）系统，实现自动化策略下发和实时风险控制。

文章来源：https://blog.huochengrm.cn/pc/30142.html