Linux密码策略需通过PAM模块pam_pwquality.so配置复杂度,结合chage和/etc/login.defs设置有效期及提醒;Ubuntu修改/etc/pam.d/common-password,RHEL/CentOS改/etc/pam.d/system-auth;root用户需显式启用enforce_for_root才受约束;策略实时生效,无需重启服务。
Linux系统默认不强制密码复杂度和有效期,需通过PAM模块(pam_pwquality.so)和shadow工具(chage)手动配置。核心是修改/etc/pam.d/common-password(Debian/Ubuntu)或/etc/pam.d/system-auth(RHEL/CentOS),并配合/etc/login.defs与用户级策略生效。
设置密码复杂度要求
启用pam_pwquality.so可强制长度、大小写、数字、特殊字符等组合。以Ubuntu为例:
- 编辑
/etc/pam.d/common-password,找到含pam_pwquality.so的行(若无则添加):password requisite pam_pwquality.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 maxrepeat=3 - 各参数含义:
minlen=10:最小长度10位
ucredit=-1:至少1个大写字母(负值表示“至少”)
lcredit=-1:至少1个小写字母
dcredit=-1:至少1个数字
ocredit=-1:至少1个特殊字符
difok=3:新密码与旧密码至少3个字符不同
maxrepeat=3:禁止连续4个相同字符 - 配置后,普通用户用
passwd改密时即受约束;root用户默认不受限,如需限制,添加enforce_for_root参数
配置密码有效期与过期提醒
密码有效期由/etc/login.defs定义默认策略,并可用chage为单个用户定制:
- 编辑
/etc/login.defs设置全局默认值:PASS_MAX_DAYS 90<br>PASS_MIN_DAYS 7<br>PASS_WARN_AGE 7
分别表示:密码最长使用90天、最短7天后才能修改、到期前7天开始登录时提醒 - 对已有用户单独设置(如用户
alice):chage -M 90 -m 7 -W 7 alice
也可用chage -l alice查看当前策略 - 注意:
PASS_MIN_DAYS设为0表示允许立即改密;设为正数可防用户频繁重置绕过过期
强制用户首次登录修改密码
适用于新创建用户或重置密码后,确保其主动设定符合策略的新密码:
- 创建用户时直接设置密码过期:
useradd -m -p $(openssl passwd -1 "temp123") -e $(date -d "+1 day" +%Y-%m-%d) alice - 或对已有用户执行:
chage -d 0 alice
该命令将“最后密码修改日期”设为0(即1970-01-01),下次登录即强制改密 - 配合
PASS_MIN_DAYS 1可避免用户改密后立刻再改,增强策略连贯性
验证与排错要点
策略生效需重启服务?不需要。PAM规则在每次调用passwd或登录认证时实时读取,但注意以下常见问题:
- 修改PAM配置后未保存或语法错误(如漏空格、多等号),会导致
passwd失败并提示“Authentication token manipulation error” - 某些发行版(如CentOS 8+)默认用
authselect管理PAM,应使用authselect select sssd with-pwquality启用pwquality,再编辑对应profile下的文件 - SSH密钥登录用户不受密码过期影响;若需统一管控,建议禁用密码登录(
PasswordAuthentication no)或结合ForceCommand做二次校验 - 定期检查策略是否对root生效:
sudo chage -l root和sudo passwd root测试复杂度
