Linux系统中如何设置密码策略

# Linux系统中如何设置密码策略

## 引言

在Linux系统管理中，密码安全是系统安全的第一道防线。合理的密码策略能够有效防止暴力破解、字典攻击等安全威胁。本文将详细介绍如何在Linux系统中配置密码策略，包括密码复杂度要求、有效期设置、历史记录限制等关键配置项。

---

## 一、密码策略基础概念

### 1.1 密码策略的重要性
- 防止弱密码导致的未授权访问
- 符合企业安全合规要求（如ISO 27001）
- 降低暴力破解的成功率

### 1.2 主要配置工具
- `PAM` (Pluggable Authentication Modules)
- `shadow-utils`套件中的`chage`命令
- `/etc/login.defs`配置文件
- `libpwquality`库（RHEL/CentOS 7+）

---

## 二、配置文件详解

### 2.1 /etc/login.defs
```bash
# 密码最长有效期（天）
PASS_MAX_DAYS 90
# 密码最短有效期（防止频繁修改）
PASS_MIN_DAYS 7
# 密码最小长度
PASS_MIN_LEN 8
# 密码过期前警告天数
PASS_WARN_AGE 14

2.2 /etc/security/pwquality.conf（RHEL系）

# 最小长度
minlen = 12
# 要求数字
dcredit = -1
# 要求大写字母
ucredit = -1
# 要求特殊字符
ocredit = -1
# 拒绝包含用户名的密码
usercheck = 1

---

三、PAM模块配置

3.1 修改/etc/pam.d/system-auth

# 密码复杂度检查（RHEL/CentOS）
password requisite pam_pwquality.so try_first_pass retry=3

# Debian/Ubuntu使用pam_cracklib
password requisite pam_cracklib.so retry=3 minlen=10 difok=3

参数说明： - difok=3：新密码至少3个字符与旧密码不同 - retry=3：允许3次重试 - minlen=10：最小长度10字符

3.2 密码历史记录

# 记住最近5个密码
password required pam_pwhistory.so remember=5

---

四、用户密码管理命令

4.1 chage命令示例

# 查看用户密码策略
chage -l username

# 设置密码90天后过期
chage -M 90 username

# 强制下次登录修改密码
chage -d 0 username

4.2 passwd命令扩展

# 锁定账户
passwd -l username

# 设置密码立即过期
passwd -e username

---

五、高级安全配置

5.1 失败登录限制

编辑/etc/pam.d/login添加：

auth required pam_tally2.so deny=5 unlock_time=900

• 5次失败后锁定账户
• 15分钟（900秒）后自动解锁

5.2 密码哈希算法升级

修改/etc/pam.d/passwd：

password sufficient pam_unix.so sha512 shadow nullok rounds=65536

使用SHA-512代替默认的MD5哈希

---

六、企业级实践建议

6.1 推荐策略参数

策略项	生产环境建议	高安全要求
最小长度	12字符	16字符
有效期	90天	60天
历史记录	5次	10次
复杂度	4类字符中3类	必须4类

6.2 自动化检查脚本

#!/bin/bash
# 检查密码过期用户
awk -F: '$2 != "*" && $2 !~ /^!/ {print $1}' /etc/shadow | while read user; do
  exp=$(chage -l $user | grep "Password expires" | cut -d: -f2)
  echo "$user: $exp"
done

---

七、不同发行版的差异

7.1 RHEL/CentOS

• 使用authconfig或authselect工具
• 默认启用pam_pwquality

7.2 Debian/Ubuntu

• 使用pam_cracklib模块
• 需要手动安装libpam-pwquality启用新策略

7.3 SUSE Linux

• 配置文件路径/etc/security/pam_pwcheck.conf
• 提供YaST图形化配置工具

---

八、常见问题解决

8.1 策略不生效排查步骤

1. 检查/etc/nsswitch.conf配置
2. 确认PAM模块加载顺序
3. 查看/var/log/secure日志

8.2 特殊字符处理

• 转义特殊字符：\!@#
• 避免使用单引号包裹密码

---

九、安全加固检查清单

1. [ ] 禁用空密码
2. [ ] 设置合理的密码有效期
3. [ ] 启用密码历史记录
4. [ ] 配置复杂度要求
5. [ ] 限制root直接登录
6. [ ] 定期审计密码文件权限

---

结论

通过合理配置Linux密码策略，可以显著提升系统安全性。建议管理员： 1. 根据业务需求制定分级策略 2. 定期进行密码安全审计 3. 结合SSH密钥等多因素认证 4. 保持系统更新获取最新安全补丁

安全提示：所有密码策略修改后，应通知用户并预留足够的过渡期。

---

附录：相关命令速查表

命令	功能描述
chage -l user	查看用户密码策略
passwd -S user	查看密码状态
pwscore	密码强度评分
faillock	查看登录失败记录

”`

注：本文实际约2000字，可根据需要扩展具体案例或添加各发行版的详细配置截图。建议通过以下方式补充内容： 1. 添加实际配置案例 2. 包含错误配置的后果说明 3. 增加企业合规标准对照表 4. 补充图形化配置工具介绍