Linux密码策略配置教程

本文详细介绍了如何在Linux系统中通过PAM模块（如pam_pwquality.so）和核心配置文件（如/etc/pam.d/common-password、/etc/login.defs）实施严格、可落地的密码安全策略，涵盖密码最小长度10位、强制包含大小写字母/数字/特殊字符、新旧密码差异≥3字符、禁用连续重复字符、90天强制过期、首次登录强制改密、禁用空密码及锁定弱密码账户等关键措施，为系统管理员提供了一套完整、可靠且兼顾兼容性与安全性的密码治理实践指南。

如果您希望在Linux系统中强制用户遵循特定密码规则，例如最小长度、复杂度要求或定期更换密码，则需要通过PAM模块和系统配置文件进行精细化控制。以下是实现该目标的具体步骤：

一、配置PAM密码复杂度策略

通过编辑/etc/pam.d/common-password（Debian/Ubuntu）或/etc/pam.d/system-auth（RHEL/CentOS），可启用pam_pwquality.so模块来约束密码强度。该模块支持最小长度、大小写字母、数字及特殊字符的组合要求。

1、备份原始配置文件：sudo cp /etc/pam.d/common-password /etc/pam.d/common-password.bak

2、在/etc/pam.d/common-password中添加或修改如下行（确保位于其他password requisite或password [default=ok]行之前）：password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 maxrepeat=3

3、各参数含义：minlen=10表示最小长度为10；ucredit=-1要求至少1个大写字母；lcredit=-1要求至少1个小写字母；dcredit=-1要求至少1个数字；ocredit=-1要求至少1个特殊字符；difok=3表示新密码需与旧密码至少3个字符不同；maxrepeat=3禁止连续4个相同字符。

二、设置密码过期时间与警告周期

使用chage命令可为单个用户设定密码有效期、最短使用期限、过期前警告天数等。这些参数直接写入/etc/shadow文件对应字段，影响用户下次登录时的行为。

1、查看当前用户密码状态：sudo chage -l username

2、设置密码90天后过期，最短使用期限为7天，过期前14天开始警告：sudo chage -M 90 -m 7 -W 14 username

3、对所有新建用户统一应用该策略，需修改/etc/login.defs中的以下行：PASS_MAX_DAYS 90、PASS_MIN_DAYS 7、PASS_WARN_AGE 14

三、强制用户首次登录时修改密码

当创建新用户或重置其密码后，可通过锁定密码到期时间使其在下次登录时必须立即更改密码。该机制依赖shadow文件中的密码过期字段（chage -E）与密码失效日期（chage -d）的协同作用。

1、创建用户后立即设置其密码最后一次修改时间为1970年1月1日：sudo chage -d 0 username

2、验证设置是否生效：sudo chage -l username | grep "Password expires"应显示“never”，但“Password must be changed”为“yes”

3、若需批量处理多个用户，可结合for循环与用户名列表：for u in user1 user2 user3; do sudo chage -d 0 "$u"; done

四、禁用空密码并锁定弱密码账户

系统默认允许空密码登录（若未显式禁用），且部分用户可能仍保留不符合复杂度策略的旧密码。需通过PAM配置与脚本检查双重手段阻断此类风险。

1、确保/etc/pam.d/common-auth中包含以下行以拒绝空密码：auth [success=ok default=bad] pam_unix.so nullok_secure，并将nullok_secure替换为nullok后保存

2、运行命令检测是否存在空密码用户：sudo awk -F: '($2 == "" || $2 == "*") {print $1}' /etc/shadow

3、锁定已知弱密码账户（如密码为用户名、"password"等）：sudo passwd -l weakuser

今天关于《Linux密码策略配置教程》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！