如何在 Linux 上设置密码策略

1.准备 安装一个PAM模块来启用cracklib支持，这可以提供额外的密码检查功能。 在Debin,Ubuntu或者Linux Mint使用命令：sudo apt-get install libpam-cracklib 这个模块在CentOS,Fedora或者RHEL默认安装了。所以在这些系统上就没有必要安装了。 如要强制执行密码策略，我们需要修改/etc/pam.d这个与身份验证相关的文件。这个文件会在修改后立即生效。 请注意，本教程中的密码规则只有在非root用户更改密码时强制执行。 2.避免重复使用旧密码 寻找同时包含“password”和"pam_unix.so"的行，然后再这行后面加上“remember=5”。这将防止5个最近使用过的密码被用来设置为新密码（通过将它们存放在/etc/security/opasswd文件中）。 在Debin,Ubuntu或者Linux Mint使用命令：sudo vi /etc/pam.d/common-password 修改内容：password[success=1 default=ignore]pam_unix.so obscure sha512 remember=5 在Fedora,CentOS或RHEL使用命令：sudo vi /etc/pam.d/system-auth 修改内容：password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 3.设置最小密码长度 寻找同时包含“password”和“pam_cracklib.so”的一行，并在后面加上“minlen=10”。这将强行设置密码的最小密码长度为10位，其中<# of types>多少个不同类型的字符在密码中使用。有四种符号类型（大写、小写、数字和符号）。所以如果使用所有四种类型的组合，并指定最小长度为10，所允许的简单密码部分将是6位。 在Debin,Ubuntu或者Linux Mint使用命令：sudo vi /etc/pam.d/common-password 修改内容：password requisitepam_cracklib.so retry=3 minlen=10 difok=3 在Fedora,CentOS或RHEL使用命令：sudo vi /etc/pam.d/system-auth 修改内容：password requisite pam_cracklib.so retry=3 difok=3 minlen=10 4.设置密码复杂度 寻找同时包含“password”和“pam_cracklib.so”的一行，并在后面加上“ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1”。这将迫使你在密码中至少包括一个大写字母、两个小写字母、一个数字和一个符号。 在Debin,Ubuntu或者Linux Mint使用命令：sudo vi /etc/pam.d/common-password 修改内容：password requisitepam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 在Fedora,CentOS或RHEL使用命令：sudo vi /etc/pam.d/system-auth 修改内容：password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1 5.设置密码的有效期 要设置当前密码的最大有效期，就修改/etc/login.defs文件的下列变量：sudo vi /etc/login.def 修改内容：PASS_MAX_DAYS 150 PASS_MIN_DAYS 0 PASS_WARN_AGE 7 这将迫使每一位用户每半年更改一次他们的密码，并且在密码过期之前七天发送密码过期还有几天到等等的警告信息给用户（到最后甚至在用户开机登录时强制用户更改密码，不然无法进入系统（个人在linux程序设计中看到的知识，非原作者观点））。如果你想基于不同的用户使用密码期限功能，那就使用chage命令。要查看针对特别用户的密码过期策略使用的命令如下：sudo chage -l xmodulo 注意：xmodule是原作者在linux系统中使用的用户名。 显示如下：Last password change: Dec 30, 2013 Password expires: never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7 默认设置中，用户的密码是不会过期的。 为用户的xmodulo更改有限期限的命令如下：$ sudo chage -E 6/30/2014 -m 5 -M 90 -I 30 -W 14 xmodulo 以上命令将密码设置为在2014年6月30日过期。并且，密码更改时间间隔的最大/最小数量分别为5和90。在一个密码过期后，这个账号将被锁30天。在密码过期前14天，警告信息就会发送到对应的账户。

如果你只是要修改一个用户的密码

你可以使用root用户来对其进行修改

直接执行命令

passwd

用户名

然后就可以设置密码了

如果你是全局的限定

修改/etc/login.defs里面的PASS_MIN_LEN的值。比如限制用户最小密码长度是4：

PASS_MIN_LEN

4

一、准备工作

安装 PAM 的 cracklib 模块，cracklib 能提供额外的密码检查能力。

Debian、Ubuntu 或 Linux Mint 系统上：

$ sudo apt-get install libpam-cracklib

CentOS、Fedora、RHEL 系统已经默认安装了 cracklib PAM 模块，所以在这些系统上无需执行上面的 *** 作。

为了强制实施密码策略，需要修改 /etc/pam.d 目录下的 PAM 配置文件。一旦修改，策略会马上生效。

注意：此教程中的密码策略只对非root 用户有效，对 root 用户无效。

二、禁止使用旧密码

找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行，它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在 /etc/security/opasswd 下面)。

Debian、Ubuntu 或 Linux Mint 系统上：

$ sudo vi /etc/pam.d/common-password password [success=1 default=ignore] pam_unix.so obscure sha512 remember=5

CentOS、Fedora、RHEL 系统上：

$ sudo vi /etc/pam.d/system-auth password sufficient pamunix.so sha512 shadow nullok tryfirstpass useauthtok remember=5

三、设置最短密码长度

找到同时有 “password” 和 “pam_cracklib.so” 字段并且附加有 “minlen=10” 的那行，它表示最小密码长度为(10 - 类型数量)。这里的 “类型数量” 表示不同的字符类型数量。PAM 提供4种类型符号作为密码(大写字母、小写字母、数字和标点符号)。如果你的密码同时用上了这4种类型的符号，并且你的 minlen 设为10，那么最短的密码长度允许是6个字符。

Debian、Ubuntu 或 Linux Mint 系统上：

$ sudo vi /etc/pam.d/common-password password requisite pam_cracklib.so retry=3 minlen=10 difok=3

CentOS、Fedora、RHEL 系统上：

$ sudo vi /etc/pam.d/system-auth password requisite pam_cracklib.so retry=3 difok=3 minlen=10

四、设置密码复杂度

找到同时有 “password” 和 “pam_cracklib.so” 字段并且附加有 “ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1” 的那行，它表示密码必须至少包含一个大写字母(ucredit)，两个小写字母(lcredit)，一个数字(dcredit)和一个标点符号(ocredit)。

Debian、Ubuntu 或 Linux Mint 系统上：

$ sudo vi /etc/pam.d/common-password password requisite pam_cracklib.so retry=3 minlen=10 difok=3 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

CentOS、Fedora、RHEL 系统上：

$ sudo vi /etc/pam.d/system-auth password requisite pam_cracklib.so retry=3 difok=3 minlen=10 ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1

五、设置密码过期期限

编辑 /etc/login.defs 文件，可以设置当前密码的有效期限，具体变量如下所示：

$ sudo vi /etc/login.defs PASSMAXDAYS 150 PASSMINDAYS 0 PASSWARNAGE 7

这些设置要求用户每6个月改变他们的密码，并且会提前7天提醒用户密码快到期了。

如果你想为每个用户设置不同的密码期限，使用 chage 命令。下面的命令可以查看某个用户的密码限期：

$ sudo chage -l xmodulo Last password change : Dec 30, 2013 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7

默认情况下，用户的密码永不过期。

下面的命令用于修改 xmodulo 用户的密码期限：

$ sudo chage -E 6/30/2014 -m 5 -M 90 -I 30 -W 14 xmodulo

上面的命令将密码期限设为2014年6月3日。另外，修改密码的最短周期为5天，最长周期为90天。密码过期前14天会发送消息提醒用户，过期后帐号会被锁住30天。

---