1.密码最长使用天数7天
1)方法一:管理员执行sudo chage -M 7 test    //设置test用户密码最长使用天数为7天
2)方法二:修改/etc/login.defs文件PASS_MAX_DAYS值为7,则之后创建的系统用户其密码最长使用天数7天

2.密码最短使用天数0天
1)方法一:管理员执行sudo chage -m 0 test   //设置test用户密码最短使用天数为0天
2)方法二:修改/etc/login.defs文件PASS_MIN_DAYS值为0,则之后创建的系统用户密码最短使用天数为0天

3.最小密码长度10位
密码中最少数字个数1
密码中最少大写字母个数1
密码中最少小写字母个数1
1)管理员先安装libpam-cracklib包执行
sudo dpkg -i libpam-cracklib_1.1.8-3kord4_arm64.deb
2)再修改/etc/pam.d/common-password文件pam_cracklib.so行改为:
password        requisite        pam_cracklib.so  retry=3 minlen=10 difok=3 dcredit=-1 ucredit=-1 lcredit=-1
说明:1)dcredit针对数字,ucredit针对大写字母,lcredit针对小写字母
      2)负数表示至少的个数,正数表示最多的个数,-1表示至少1位

4.密码出错机会小于等于5次,5次登陆失败后锁定10分钟
1)在/etc/pam.d/lightdm-greeter、/etc/pam.d/login和/etc/pam.d/sshd文件中第一行添加如下内容:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 even_deny_root root_unlock_time=600 audit
说明:以上文件分别针对图形、本地字符、远程ssh登陆情形,密码出错机会小于等于5次,5次登陆失败后锁定10分钟

5.设置自动注销时间10分钟
1)情形一:在/etc/profile最后添加:TMOUT=600。该情况是针对字符终端和ssh远程登陆有效
2)情形二:对于图形登陆的终端窗口注销需要修改用户主目录下的.bashrc文件,增加TMOUT=600。

6.与系统管理员确认不必要的系统账号、FTP等服务的账号,对不需要的账号进行锁定
usermod --expiredate 1 test   (通过设置test账户的过期时间为1970年1月2日,实现账户的注销)


7.限制能够su到root的用户
系统用户中默认sudo用户组和admin用户组的用户可以通过sudo执行任何命令包括su(sudo su),
所以限制用户加入sudo、admin用户组即可限制能够su到root的用户。
假设系统存在普通用户test,只在test组里;
管理员用户执行sudo usermod -a -G sudo test,将test用户加入sudo组;
管理员用户执行sudo usermod -G test test,将test用户从sudo组移除;