Linux 用户密码策略配置与管理

舞夢輝影

发布时间：2026-02-19 14:57:36

573人浏览过

来源于php中文网

原创

linux密码策略生效位置取决于pam配置，需通过grep -r "pwquality|pam_pwquality" /etc/pam.d/确认是否加载pam_pwquality.so；若未加载，则/etc/login.defs仅影响新用户创建，chage -l可查看用户实际策略。

linux 用户密码策略配置与管理

如何确认当前系统的密码策略生效位置

Linux 密码策略不是单点配置，它可能来自 PAM、shadow 工具、或 systemd 的 login 服务。直接改 /etc/login.defs 不一定生效，尤其在使用 pam_pwquality.so 的系统上（如 RHEL 8+/Ubuntu 20.04+）。先运行 grep -r "pwquality|pam_pwquality" /etc/pam.d/，看是否在 /etc/pam.d/common-password 或 /etc/pam.d/system-auth 中加载了该模块。如果没加载，改 /etc/login.defs 里的 PASS_MIN_LEN 或 PASS_MAX_DAYS 只影响新用户创建，不影响已有用户密码修改行为。

chage -l username 查看某用户实际生效的密码过期参数（来自 shadow 数据库，非配置文件）
authconfig --test | grep password（RHEL/CentOS）或 libuser-config --dump | grep -i pass 可辅助判断策略来源
Ubuntu 默认用 libpam-pwquality，但若未在 PAM 配置中显式启用，/etc/security/pwquality.conf 就是摆设

修改密码最小长度和复杂度时，`pam_pwquality.so` 的关键参数怎么设

真正起作用的是 PAM 模块的参数，不是 /etc/login.defs。比如要求至少 12 位、含大小写字母+数字+符号，得在 PAM 配置里写：

password requisite pam_pwquality.so retry=3 minlen=12 difok=5 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

minlen=12：不是“最少 12 位”，而是“基础分值 ≥12”，默认小写字母 1 分、大写 1 分、数字 1 分、符号 1 分；若加了 dictcheck=0 和 maxrepeat=2，才更接近真实长度控制
ucredit=-1 表示“必须至少含 1 个大写字母”，负数才表示“强制最低数量”
difok=5 是新旧密码至少 5 个字符不同，不是“不能重用前 5 次密码”（那是 pam_pwhistory.so 干的）
改完必须测试：passwd 切换到普通用户下试改密码，别只用 root 测试（root 默认绕过很多策略）

`/etc/login.defs` 还要不要动？哪些字段真有用

它只管用户创建时的默认值，且仅当创建命令（如 useradd）未显式指定参数时才生效。对已存在用户、或用 adduser（交互式封装）创建的用户，影响有限。

Shopxp购物系统Html版

一个经过完善设计的经典网上购物系统，适用于各种服务器环境的高效网上购物系统解决方案，shopxp购物系统Html版是我们首次推出的免费购物系统源码，完整可用。我们的系统是免费的不需要购买，该系统经过全面测试完整可用，如果碰到问题，先检查一下本地的配置或到官方网站提交问题求助。网站管理地址：http://你的网址/admin/login.asp 用户名：admin 密码：admin 提示：如果您

下载

PASS_MAX_DAYS 90：新建用户密码 90 天后过期，但不会自动触发 chage -M 90 到已有用户
ENCRYPT_METHOD SHA512 必须设，否则新密码仍用 DES（极不安全），且不会覆盖已有用户的加密方式
SHA_CRYPT_MIN_ROUNDS 和 SHA_CRYPT_MAX_ROUNDS 控制 salt 迭代轮数，建议设为 50000 和 100000，提升暴力破解成本
PASS_WARN_AGE 7 有效，但只影响 login 时的警告提示，不阻止登录

为什么改了策略，用户还是能设弱密码？常见失效原因

最常踩的坑是 PAM 配置顺序不对。PAM 按行执行，requisite 类型一失败就立即返回，但若它前面有 sufficient 模块（如 pam_permit.so）先通过了，整个密码修改流程就跳过了质量检查。

检查 /etc/pam.d/common-password（Debian/Ubuntu）或 /etc/pam.d/system-auth（RHEL），确认 pam_pwquality.so 在 pam_unix.so 之前，且没有 sufficient 模块插队
SSH 密码登录走的是 auth 栈，不是 password 栈，所以改密码策略不影响 SSH 登录认证方式
容器环境（如 Docker）通常不加载完整 PAM 栈，passwd 命令可能完全忽略 pam_pwquality
使用 sudo passwd 修改他人密码时，部分系统会跳过质量检查（取决于 passwd 是否以 root 权限调用 PAM）

策略真正落地，靠的是 PAM 加载顺序 + 模块类型 + 用户上下文，不是文件改了几行。漏掉任意一环，配置就形同虚设。

Linux 系统救援模式使用教程

Linux 日志集中收集与分析方法

Linux /proc/sys/net/ipv4/ip_local_port_range 的 ephemeral port 范围扩展

Linux 日志集中收集与分析方案

Linux setuid 与 setgid 机制详解

相关专题

堆和栈的区别

堆和栈的区别：1、内存分配方式不同；2、大小不同；3、数据访问方式不同；4、数据的生命周期。本专题为大家提供堆和栈的区别的相关的文章、下载、课程内容，供大家免费下载体验。

419

2023.07.18

堆和栈区别

堆(Heap)和栈(Stack)是计算机中两种常见的内存分配机制。它们在内存管理的方式、分配方式以及使用场景上有很大的区别。本文将详细介绍堆和栈的特点、区别以及各自的使用场景。php中文网给大家带来了相关的教程以及文章欢迎大家前来学习阅读。

594

2023.08.10

k8s和docker区别

k8s和docker区别有抽象层次不同、管理范围不同、功能不同、应用程序生命周期管理不同、缩放能力不同、高可用性等等区别。本专题为大家提供k8s和docker区别相关的各种文章、以及下载和课程。

265

2023.07.24

docker进入容器的方法有哪些

docker进入容器的方法：1. Docker exec；2. Docker attach；3. Docker run --interactive --tty；4. Docker ps -a；5. 使用 Docker Compose。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

512

2024.04.08

docker容器无法访问外部网络怎么办

docker 容器无法访问外部网络的原因和解决方法：配置 nat 端口映射以将容器端口映射到主机端口。根据主机兼容性选择正确的网络驱动（如 host 或 overlay）。允许容器端口通过主机的防火墙。配置容器的正确 dns 服务器。选择正确的容器网络模式。排除主机网络问题，如防火墙或连接问题。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

411

2024.04.08