修改全局密码策略需编辑 /etc/login.defs 文件,设置 pass_max_days、pass_min_days、pass_min_len 和 pass_warn_age 参数,新用户自动生效;2. 对已有用户需使用 chage 命令调整策略,如 chage -m 90 设置最长使用90天,chage -d 0 强制下次登录修改密码;3. 可通过配置 pam_pwquality 模块增强密码复杂度,要求包含大小写字母、数字和特殊字符;4. 使用 chage -l 查看用户密码策略;5. 用户不遵守策略时可结合密码审计工具检测弱密码并强制修改,推荐启用多因素认证提升安全性;6. 大规模环境中应使用 ansible 等配置管理工具自动化策略部署,确保一致性并简化维护;7. 密码策略需定期评估更新,并配合安全意识培训提升整体安全性。
修改用户密码策略,特别是涉及到
chage
修改用户密码策略主要涉及两个方面:一是全局密码策略,影响所有用户;二是针对特定用户的密码策略。
1. 全局密码策略修改:
通常通过修改
/etc/login.defs
PASS_MAX_DAYS 90 # 密码最长使用天数,90天过期 PASS_MIN_DAYS 0 # 密码最短使用天数,0表示可以立即修改 PASS_MIN_LEN 8 # 密码最小长度,至少8个字符 PASS_WARN_AGE 7 # 密码过期前7天开始警告
修改这些参数后,新创建的用户会应用这些策略。对于已存在的用户,需要使用
chage
2. 特定用户密码策略修改:
chage
testuser
chage -M 90 testuser # 设置密码最长使用天数为90天 chage -m 0 testuser # 设置密码最短使用天数为0天 chage -W 7 testuser # 设置密码过期前7天警告 chage -d 0 testuser # 强制用户下次登录时修改密码 (将最后一次修改日期设置为1970-01-01)
需要注意的是,
chage
3. 密码复杂度策略(可选):
为了进一步增强密码安全性,可以安装并配置
pam_cracklib
pam_pwquality
例如,编辑
/etc/pam.d/system-auth
password requisite pam_pwquality.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
retry=3
minlen=8
lcredit=-1
ucredit=-1
dcredit=-1
ocredit=-1
可以使用
chage -l <username>
chage -l testuser
输出会显示密码最后一次修改时间、过期时间、失效时间等信息。
强制执行密码策略是个挑战。即使设置了密码复杂度要求和过期时间,用户仍然可能选择容易记住的密码,或者在过期前简单地修改为相同的密码。
一种方法是定期审计用户密码,可以使用工具如
John the Ripper
Hashcat
此外,可以考虑采用多因素认证(MFA),例如使用 Google Authenticator 或 YubiKey,来增加安全性。即使密码被破解,攻击者仍然需要第二种认证方式才能访问系统。
对于大型系统,手动管理密码策略非常繁琐。可以使用配置管理工具,如 Ansible、Puppet 或 Chef,来自动化密码策略的配置和管理。
例如,使用 Ansible 可以编写一个 playbook,自动修改
/etc/login.defs
总而言之,修改用户密码策略是一个持续的过程,需要定期评估和调整。除了技术手段,还需要加强用户安全意识培训,让他们了解密码安全的重要性。
以上就是如何修改用户密码策略 chage命令过期时间设置的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 //m.sbmmt.com/ All Rights Reserved | php.cn | 湘ICP备2023035733号
169
收藏
