华三（H3C）交换机密码策略配置指南

华三（H3C）交换机密码策略配置指南

华三交换机的密码策略主要通过命令行界面（CLI）配置，核心目标是提升设备密码安全性，防止弱密码、暴力破解等风险。以下是完整的密码策略配置命令及详细解释，适配华三主流交换机型号（如 S5130、S5560、S6800 等）。

一、基础密码复杂度策略

1. 设置密码最小长度

system-view // 进入系统视图 password-control length min-length 10 // 设置密码最小长度为10位

• 解释：默认密码最小长度为 8 位，建议至少设置为 10 位；取值范围 1-64，长度越长安全性越高，避免简单短密码（如 123456）。
• 注意：该命令对登录密码（Console/Telnet/SSH）、特权密码、用户密码均生效。

2. 设置密码字符类型组合要求

password-control composition type-number 3 type-length 2 // 密码需包含至少3种字符类型，每种类型至少2位

• 解释：
  • type-number：指定密码必须包含的字符类型数量，取值 1-4（字符类型包括：大写字母、小写字母、数字、特殊符号）；建议设置为 3 或 4。
  • type-length：每种字符类型的最小长度，取值 1-63；示例中要求每种类型至少 2 位，避免单一类型字符占比过高（如全数字密码）。
• 字符类型说明：
  • 大写字母：A-Z
  • 小写字母：a-z
  • 数字：0-9
  • 特殊符号：!@#$%^&*()_+-=[]{}|;:,.<>/? 等（华三交换机支持的特殊符号）。

3. 禁止密码包含用户名

password-control composition username-check enable // 启用密码与用户名检查，禁止密码包含用户名

• 解释：防止用户设置与用户名相同 / 包含用户名的密码（如用户名为 admin，密码为 admin123），降低密码被猜测的风险。

二、密码有效期与更换策略

1. 设置密码有效期

password-control aging enable // 启用密码有效期功能 password-control aging 90 // 设置密码有效期为90天（默认永不过期）

• 解释：
  • 启用密码有效期后，用户密码到期前会提醒更换（默认提前 7 天），到期后必须修改密码才能登录。
  • 取值范围 1-365 天，建议设置 90 天（3 个月），定期更换降低密码泄露风险。

2. 设置密码历史记录限制

password-control history enable // 启用密码历史记录功能 password-control history number 5 // 禁止重复使用最近5次使用过的密码

• 解释：防止用户频繁复用旧密码（如改回刚更换的密码），取值范围 1-10，建议至少 5 次。

三、登录失败锁定策略

1. 设置登录失败次数阈值

password-control login-attempt 5 exceed lock-time 10 // 登录失败5次后，锁定账号10分钟

• 解释：
  • login-attempt 5：允许最大登录失败次数为 5 次（取值 1-10），超过则锁定。
  • lock-time 10：锁定时长为 10 分钟（取值 1-1440 分钟，即 24 小时），也可设置为unlock（需管理员手动解锁）。
• 作用：防止暴力破解，避免攻击者无限次尝试密码。

2. 手动解锁被锁定的用户（管理员操作）

user-interface vty 0 4 // 进入VTY（远程登录）接口视图（根据实际接口调整） undo lock // 解锁被锁定的接口/用户

• 解释：若账号被锁定且未到自动解锁时间，管理员可通过该命令手动解锁。

四、密码加密存储策略

password-control secure enable // 启用密码加密存储（华三默认启用，建议确认）

• 解释：交换机将密码以不可逆的加密算法（如 SHA-256）存储，而非明文或简单哈希，即使配置文件泄露，也无法还原密码。

五、特权模式密码强化（可选）

super password level 3 cipher Admin@123456 // 设置3级特权密码为Admin@123456（密文存储）

• 解释：
  • level 3：华三交换机特权级别默认分 0-3 级，3 级为最高权限。
  • cipher：指定密码以密文形式存储（必选，避免明文泄露）。
  • 密码需符合前文的复杂度要求（如包含大小写、数字、特殊符号）。

完整配置示例（可直接复制执行）

system-view # 基础复杂度 password-control length min-length 10 password-control composition type-number 3 type-length 2 password-control composition username-check enable # 有效期与历史记录 password-control aging enable password-control aging 90 password-control history enable password-control history number 5 # 登录失败锁定 password-control login-attempt 5 exceed lock-time 10 # 加密存储 password-control secure enable # 特权密码（示例） super password level 3 cipher Admin@123456 # 保存配置 save

总结

1. 核心安全策略：密码需满足「长度≥10 位 + 3 种字符类型 + 禁止包含用户名」，有效期 90 天，禁止复用最近 5 次密码。
2. 防破解策略：登录失败 5 次锁定 10 分钟，密码加密存储，避免明文 / 弱哈希泄露。
3. 关键命令：password-control是核心配置前缀，所有密码策略均基于该命令集，配置后需执行save保存生效。

注意事项

• 配置前建议备份原有配置，避免策略冲突；
• 密码策略生效后，新创建 / 修改的密码需符合规则，已有密码需在到期后按新规则修改；
• 管理员账号需单独强化，避免使用通用弱密码。