强化系统安全的第一步（Linux用户密码策略详解）

一、为什么需要密码策略？

弱密码容易被暴力破解或字典攻击，导致系统被入侵。通过设置合理的密码复杂度要求（如长度、字符类型等）、密码有效期、历史记录等规则，可以显著提升账户安全性。

二、核心配置文件：/etc/login.defs

这个文件定义了新用户创建时的默认密码策略。虽然它不直接影响已有用户，但对后续新增用户非常关键。

常用参数说明：

• PASS_MAX_DAYS：密码最长有效期（天），建议设为 90
• PASS_MIN_DAYS：两次修改密码的最小间隔（天），防止频繁改回旧密码
• PASS_MIN_LEN：密码最小长度（注意：实际由 PAM 控制更有效）
• PASS_WARN_AGE：密码过期前多少天开始提醒用户

编辑该文件（需 root 权限）：

# 使用 nano 或 vim 编辑sudo nano /etc/login.defs# 示例配置PASS_MAX_DAYS   90PASS_MIN_DAYS   7PASS_MIN_LEN    8PASS_WARN_AGE   14  

三、使用 PAM 模块加强密码复杂度

要真正强制执行密码复杂度（如必须包含大小写字母、数字、特殊符号），需要配置 PAM（Pluggable Authentication Modules）。

安装 libpam-pwquality（Debian/Ubuntu）或 pam_pwquality（RHEL/CentOS）：

# Ubuntu/Debiansudo apt install libpam-pwquality# CentOS/RHELsudo yum install pam_pwquality  

然后编辑 PAM 配置文件 /etc/pam.d/common-password（Debian系）或 /etc/pam.d/system-auth（RHEL系）：

# 在 password 行添加或修改 pwquality 参数password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1  

参数解释：

• minlen=10：最小长度 10
• ucredit=-1：至少 1 个大写字母
• lcredit=-1：至少 1 个小写字母
• dcredit=-1：至少 1 个数字
• ocredit=-1：至少 1 个特殊字符
• difok=3：新密码至少有 3 个字符与旧密码不同

四、管理已有用户的密码策略

使用 chage 命令可为特定用户设置密码过期策略：

# 查看用户 tom 的密码信息sudo chage -l tom# 设置 tom 的密码 60 天后过期，提前 7 天提醒sudo chage -M 60 -W 7 tom# 强制用户下次登录时修改密码sudo chage -d 0 tom  

五、总结

通过合理配置 /etc/login.defs、PAM 模块以及使用 chage 命令，你可以全面掌控 Linux 系统的用户安全设置。这些措施不仅能防范弱密码风险，还能规范用户行为，是构建安全 Linux 环境不可或缺的一环。

记住，良好的Linux账户管理习惯，是从设置强密码策略开始的！