必须创建并授权 /etc/security/opasswd 文件、在 password 类型 PAM 行中配置 pam_pwhistory.so remember=5(或兼容模块)、确保该配置被 passwd 命令实际加载(如 Ubuntu 改 common-password,RHEL 改 system-auth),三者缺一不可。
怎么让 Linux 禁止用户重复使用最近 5 次旧密码
核心是启用 pam_pwhistory.so 或兼容模块(如 pam_unix.so remember=N),并确保旧密码能被记录。不是改完配置就生效,缺一环都会“看似配了,实则无效”。
- 必须创建并正确授权存储历史密码的文件:
sudo touch /etc/security/opasswd && sudo chown root:root /etc/security/opasswd && sudo chmod 600 /etc/security/opasswd;不建这个文件,remember=5直接静默失效 - 修改的是 PAM 密码堆栈(
password类型行),不是auth行;常见误操作是把remember=5加到auth [success=1 default=ignore] pam_unix.so ...这类行里,完全不起作用 - 主流系统倾向用
pam_pwhistory.so替代老式pam_unix.so remember=:它更健壮、支持enforce_for_root、可单独控制 root 用户策略;Ubuntu 22.04+、RHEL 8+ 默认已预装 - 典型配置(加在
/etc/pam.d/common-password或/etc/pam.d/system-auth中):password requisite pam_pwhistory.so remember=5 enforce_for_root
为什么改了 system-auth 还是不限制重复密码
因为多数现代发行版(如 Ubuntu、CentOS Stream)的 passwd 命令实际走的是 common-password 链,而不是 system-auth —— 后者常被 su、login 使用。只改一个文件,等于只给一半门上了锁。
- 先确认当前
passwd调用路径:grep -r "password.*pam_.*so" /etc/pam.d/ | grep -E "(passwd|common-password)" - Ubuntu/Debian 系:主配置在
/etc/pam.d/common-password;RHEL/CentOS 7+:通常软链接system-auth→password-auth,但passwd仍优先读system-auth;Kylin V10 则明确要求同时检查system-auth和password-auth - 改完后测试不能只看命令是否报错,要真实执行两次
passwd:第一次设新密码 A,第二次立刻尝试再设回 A,应提示password has been used before
remember=5 的 5 次到底从哪天开始算
不是从配置生效那天起算,而是从**该用户第一次成功使用带 remember 的 PAM 配置修改密码时**开始累积。之前的历史密码(哪怕刚改过三次)不会自动导入 /etc/security/opasswd,得等下次改密才开始记。
- 已有用户想立即启用历史限制?只能手动触发一次密码修改(哪怕新旧一样,只要通过 PAM 流程),之后的第 2~6 次才会被记录
-
opasswd文件是二进制格式,不可直接编辑或查看明文;可用sudo pam_pwhistory_check -u username(如有)或观察passwd报错来验证是否生效 - 注意:若用户从未改过密码,或一直用
root强制重置(绕过 PAM 密码堆栈),remember对该用户完全不生效
root 用户也被限制?能不能例外放行
默认情况下,remember 对所有用户一视同仁,包括 root。但生产环境常需允许 root 快速切回运维常用密码——这时不能删 remember,而要用模块原生参数控制。
- 用
pam_pwhistory.so时,加enforce_for_root才真正约束 root;不加则 root 不受限制(其他用户照常) - 用老式
pam_unix.so remember=5时,root 无法跳过,只能另起一行专为 root 配置:password [success=ok default=ignore] pam_succeed_if.so user = rootpassword [default=bad] pam_unix.so remember=0
(顺序很重要,必须放在通用规则之前) - 更稳妥的做法是:对普通用户 enforce,对 root 单独设宽松策略(如
remember=1),避免因策略冲突导致 root 锁死自己
password、对应模块被 passwd 命令真实加载。少一个,策略就只是配置文件里的一行注释。 
