1 设备密码复杂度策略

1、配置内容
检查密码复杂度策略中设置的特殊字符、大写字母、小写字母和数字的个数。
2、配置要求
密码复杂度策略要设置必须包括特殊字符、大写字母、小写字母和数字。
3、配置方法
修改/etc/security/pwquality.conf 文件，在文件尾部添加如下配置：
lcredit = -1
ucredit = -1
dcredit = -1
ocredit = -1
注：ucredit：大写字母个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数 ，-1 表示至少 1 个。
minlen 表示密码长度。
/etc/security/pwquality.conf 文件中的密码长度设置优先级高于/etc/login.defs 文件设置，而用 root 用户配置用户时必须配置密码
（否则切换用户后无法修改密码），
而密码可不遵守密码复杂度策略要求，但是会遵守/etc/login.defs 中设置的最短密码有效期的规定，在规定时间内不能修改密码。
配置脚本：
cp /etc/security/pwquality.conf /etc/security/pwquality.conf.bak
echo 'lcredit = -1
ucredit = -1
dcredit = -1
ocredit = -1' >>/etc/security/pwquality.conf

2 设备密码生存周期、最小长度、更改最小间隔天数和过期前警告天数

1、配置内容
配置设备密码生存周期、最小长度、更改最小间隔天数和过期前警告天数。
2、配置要求
设备密码生存周期小于等于 90 天；最小长度大于等于 8 个字符；更改最小间隔天数为 2 天；过期前警告天数为大于等于 7 天。
3、配置方法
修改/etc/login.defs 文件，文件对应参数如下：
PASS_MAX_DAYS 90 ##密码生存周期
PASS_MIN_DAYS 2 ##密码更改最小间隔天数
PASS_MIN_LEN 8 ##密码最小长度
PASS_WARN_AGE 14 ##密码过期前警告天数
根据要求，修改上面对应参数的值。
配置脚本：
cp /etc/login.defs /etc/login.defs.bak
sed -i -r 's#(^PASS_MAX_DAYS)(.*)#\1 90#g' /etc/login.defs
sed -i -r 's#(^PASS_MIN_DAYS)(.*)#\1 7#g' /etc/login.defs
sed -i -r 's#(^PASS_MIN_LEN)(.*)#\1 8#g' /etc/login.defs
sed -i -r 's#(^PASS_WARN_AGE)(.*)#\1 7#g' /etc/login.defs

3 使用 PAM 认证禁止指定组之外的用户使用 su 切换到 root

1、配置内容
使用 PAM 认证禁止指定组之外的用户使用 su 切换到 root。
2、配置要求
使用 PAM 认证禁止指定 wheel 组之外的用户使用 su 切换到 root。
3、配置方法
编辑/etc/pam.d/su 文件,配置认证组，指定特定组的成员用户才可以使用 su 命令切换成为 root 用户。
开启如下配置：
auth sufficient pam_wheel.so trust use_uid
auth required pam_wheel.so use_uid
配置方法如下：
sed -i -r 's/^#auth/auth/g' /etc/pam.d/su
然后为用户添加组：
usermod -G wheel 用户
注意：开启后默认是 wheel 组的用户才可以，如要指定特定组（组要已经创建）,以 cool 组为例，配置如下：
auth required pam_wheel.so use_uid group=cool
用 group=组名来指定。
配置脚本：
sed -i -r 's/^#auth/auth/g' /etc/pam.d/su
sed -i -r 's/^(auth.*required.*pam_wheel.so use_uid)/\1 group=cool/g' /etc/pam.d/su

4 制作用户权限对照表

1、检查内容
检查操作系统用户权限表，确认当前的用户权限设置是否正确
2、配置要求
制定操作系统的用户权限表，并根据权限表进行用户权限分配，用户权限表至少包括这几个字段：IP 地址、帐户名、权限、使用
者等信息
3、配置方法
用wps表格工具制作操作系统的用户权限表。