【银河麒麟V10】【桌面】从登录安全到密码策略:系统管理员实战配置指南 📅 2026/7/6 12:18:21 1. 银河麒麟V10登录安全基础配置作为国产操作系统的代表银河麒麟V10在政务、金融等领域广泛应用。我刚接手企业IT管理时就发现很多同事还在用123456这样的弱密码甚至直接共享root账户。下面分享几个基础但关键的登录安全配置。先说说最常用的root账户限制。虽然root权限很大但日常操作真没必要用它。执行这条命令就能锁定root登录sudo passwd -l root这个操作不会影响sudo提权只是禁止了直接登录。我遇到过开发同事抱怨为什么不能root登录其实用sudo -i完全能满足需求还能留下操作日志。对于普通用户建议在/etc/ssh/sshd_config里加上PermitRootLogin no AllowUsers zhangsan lisi192.168.1.*这样既禁止root远程登录又限制了可登录的用户和IP段。上周运维部有台测试机被暴力破解就是因为没做这些基础防护。2. 图形化安全中心实战银河麒麟的图形化工具对新手特别友好。在开始菜单搜索安全中心或者按WinS快捷键调出搜索框输入账户安全都能找到。密码策略模板里有三个现成方案宽松模式适合测试环境仅要求6位长度标准模式推荐8位以上含大小写和数字严格模式12位以上需特殊字符我们市场部就用的标准模式而财务系统必须启用严格模式。有次审计发现财务同事把密码写在便利贴上后来加了密码过期提醒功能强制90天更换一次。账户锁定功能也很实用。连续5次输错密码自动锁定30分钟这个在/etc/pam.d/common-auth里对应的是auth required pam_tally2.so deny5 unlock_time18003. 命令行深度配置密码策略批量部署时还是命令行更高效。先确认已安装密码策略模块apt install libpam-cracklib # 通常默认已安装关键配置文件是/etc/pam.d/common-password我常用的强化配置如下password requisite pam_cracklib.so \ difok3 minlen10 dcredit-1 ucredit-1 ocredit-1 \ reject_username enforce_for_root这表示新密码至少改3个字符difok最少10位minlen必须包含数字、大写字母和特殊字符credit-1不能包含用户名连root也要遵守研发部曾经抱怨密码太难记我教他们用句子密码比如KyLin10Home既安全又好记。4. 企业级多部门策略管理真实企业环境要分部门制定策略。我们公司是这样划分的部门密码长度复杂度要求有效期登录限制普通办公8位大小写数字90天仅限内网IP开发团队10位需特殊字符60天需VPN动态令牌财务系统12位四类字符全需30天固定IP工作时间段限制实现方法是用pam_script模块在/etc/security/pam_script里写判断逻辑。比如限制财务部只能在早8晚6登录if [[ $PAM_USER ~ ^finance_ ]] [ $(date %H) -lt 8 ]; then exit 1 fi5. 常见故障排查指南配置时难免踩坑分享几个典型案例问题1修改密码总提示不符合复杂度要求检查/etc/pam.d/common-password的minclass参数用cracklib-check测试密码强度echo Test123! | cracklib-check问题2账户被锁定但不知道原因查看失败记录pam_tally2 --userzhangsan解锁账户pam_tally2 --userzhangsan --reset问题3远程登录卡在密码界面检查ssh配置grep -E PasswordAuthentication|ChallengeResponse /etc/ssh/sshd_config可能是PAM模块顺序错误建议备份后逐项测试有次全员密码过期批量重置时发现chpasswd命令比手动改高效得多echo zhangsan:NewPass123! | chpasswd6. 安全加固进阶技巧除了基础配置这些实战经验可能对你有用登录历史监控last -f /var/log/wtmp | head -20 # 查看近期登录 grep Failed password /var/log/auth.log # 筛选失败尝试会话超时设置 在/etc/profile末尾添加export TMOUT900 # 15分钟无操作自动退出密码哈希算法升级 修改/etc/pam.d/common-passwordpassword [success1 defaultignore] pam_unix.so sha512 shadow最近给服务器升级时发现银河麒麟V10默认用sha512加密比老版本的md5安全得多。可以用authconfig --test | grep hashing验证当前算法。