Linux如何设计安全的密码策略_Linux密码复杂度配置

Linux系统通过配置pam_pwquality模块、/etc/login.defs文件及chage命令，实现密码复杂度、生命周期和历史记录的全面管控，提升账户安全性。

Linux系统的安全始于用户认证，而密码作为最常用的认证方式，其强度直接影响系统整体安全性。设置合理的密码策略能有效防止弱口令、暴力破解等攻击。通过配置PAM（Pluggable Authentication Modules）模块和相关系统文件，可以实现对密码复杂度的精细控制。

启用密码复杂度检查（pam_pwquality）

现代Linux发行版（如CentOS 7+、Ubuntu 18.04+）使用 pam_pwquality 模块替代旧的 pam_cracklib，用于评估密码强度。

编辑配置文件：/etc/pam.d/system-auth 或 /etc/pam.d/common-password，确保包含以下行：

password requisite pam_pwquality.so retry=3 minlen=10 difok=3

常用参数说明：

• minlen=10：密码最小长度为10位
• difok=3：新密码至少包含3个与旧密码不同的字符
• lcredit=-1：至少包含1个小写字母
• ucredit=-1：至少包含1个大写字母
• dcredit=-1：至少包含1个数字
• ocredit=-1：至少包含1个特殊符号
• retry=3：输错密码最多重试3次

这些规则可组合使用，例如：

password requisite pam_pwquality.so minlen=10 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=3 retry=3

配置全局密码策略（login.defs）

/etc/login.defs 文件定义了用户创建时的默认密码策略，主要影响 useradd 等命令。

• PASS_MAX_DAYS 90：密码最长有效期90天
• PASS_MIN_DAYS 7：密码修改最小间隔7天（防频繁更换）
• PASS_MIN_LEN 10：密码最小长度（注意：该值不强制复杂度，仅作提示）
• PASS_WARN_AGE 7：密码过期前7天开始提醒用户

修改后对新用户生效，已有用户需使用 chage 命令单独调整。

Creatext AI

专为销售人员提供的 AI 咨询辅助工具

39

查看详情

强制用户遵守策略（chage 与 passwd）

使用 chage 命令管理用户密码过期信息：

chage -M 90 -m 7 -W 7 username   # 设置最大90天，最小7天，警告期7天
chage -l username                 # 查看用户密码策略详情

使用 passwd 命令强制用户下次登录修改密码：

passwd -e username  # 密码立即过期，登录时必须更改

阻止重复使用旧密码

防止用户循环使用旧密码，可在 pam_pwquality 中添加：

password sufficient pam_unix.so use_authtok nullok sha512 remember=5

其中 remember=5 表示禁止使用最近5次用过的密码。历史记录保存在 /etc/security/opasswd 文件中。

合理配置密码策略是Linux系统安全的基础措施。结合 pam_pwquality 的复杂度要求、login.defs 的生命周期管理以及密码历史限制，能显著提升账户安全性。定期审计用户密码状态，配合强身份验证（如双因素认证），可构建更可靠的防护体系。基本上就这些。

以上就是Linux如何设计安全的密码策略_Linux密码复杂度配置的详细内容，更多请关注php中文网其它相关文章！