香港服务器SSH如何设置密码策略

以下是香港服务器SSH密码策略设置要点，需通过SSH连接服务器操作：

1. 修改默认密码

首次登录后使用passwd命令设置新密码，要求包含大小写字母、数字、特殊字符，长度≥12位。

1. 配置密码复杂度

• 编辑/etc/pam.d/system-auth或/etc/pam.d/common-password（Ubuntu），添加以下参数：

minlen=10（最小长度10位）
ucredit=-1（至少1个大写字母）、lcredit=-1（至少1个小写字母）、dcredit=-1（至少1个数字）、ocredit=-1（至少1个特殊字符）

• 安装libpam-cracklib模块（Ubuntu需执行sudo apt-get install libpam-cracklib）。

1. 限制密码重试次数

编辑/etc/pam.d/login或/etc/pam.d/sshd，添加pam_tally2配置：
auth required pam_tally2.so deny=5 unlock_time=180（错误5次锁定3分钟）。

1. 设置密码过期策略

编辑/etc/login.defs，修改以下参数：
PASS_MAX_DAYS 90（密码最大有效期90天）
PASS_WARN_AGE 7（过期前7天提示修改）。

1. 禁用弱密码（可选）

使用passwd -n 30 username设置密码最短使用期限（如30天），避免频繁修改弱密码。
注意：修改后需重启SSH服务生效（systemctl restart sshd），建议同时启用SSH密钥认证（）以增强安全性。