Linux如何设置用户密码有效期

哎,这个东西,我刚接触Linux的时候,遇到了很多风险,包括密码。

记得那一年,我在上海的一家小公司工作,突然无法登录服务器了。
当我检查时,我发现,亲爱的,用户的密码已经过期了。
当时我很忙,客户催我上网,我的心跳得很快。

Linux中判断用户密码的有效期主要依靠change命令。
这个东西使用起来非常灵活,你可以随意修改它。
我刚刚使用chage user -M 9 0将密码有效期设置为9 0天。
想想看,公司里有几百人的密码都过期了,那该有多烦人。

后来我发现仅仅定义有效期是不够的,还得结合PAM模块来增强策略。
否则,用户可能会继续使用弱密码,例如“1 2 3 4 5 6 ”。
这不是说没有准备吗?我记得公司里有一个实习生,密码是“password”。
我当场抓住了他并立即把他带了回来。

批量设置用户密码有效期。
我使用了一个脚本来实现这一点。
只需将用户名插入到文件中,然后使用 chage 命令一一修改即可。
但请注意,该脚本必须以root权限运行,否则无法更改密码。

还应该有一个密码过期后做什么的计划。
例如,如果用户因密码过期而无法登录,您需要能够快速重置其密码。
我用chage user -d 0将最后一次更改密码的日期设置为0,然后告诉他下次登录时更改密码。
当然,你也可以直接使用passwd user命令,但更改更灵活。

总的来说,设置密码有效期是保护系统安全的重要措施。
但也必须注意平衡安全性和用户体验。
如果有效期设置太短,用户肯定会不满意,不得不不断更改密码;如果设置太长,很容易被攻击者利用。
因此,应根据实际情况进行合理设置,如重要性等系统和用户习惯。

顺便说一句,还有一件事是您需要定期检查您的密码策略。
我听说有些公司的密码政策几年都没有改变,结果却被攻击者利用。
所以,你要时常检查一下,看看有没有需要调整的地方。

不过这些操作需要root权限,所以要小心不要出错,否则系统将无法正常工作。

Linux设置用户密码复杂度要求

直接更改 pam.d/system-auth 或 common-password 文件。
CentOS 使用 AuthSelect 工具进行管理。
密码长度必须至少为 1 2 个字符,包含数字、大写字母、小写字母和特殊符号。
dcredit=-1 表示至少 1 个数字。
difok=7 表示新旧密码至少有 7 个不同。
gecoscheck 使用名称限制密码。

全局更改 /etc/security/pwquality.conf。
要求 MinLen=1 2 maxrepeat=3 同一字符不能使用超过 3 次。

高级设置minlen=1 4 ,dcredit=-2 是2 个数字。
maxclassrepeat=4 同一类型的字符不能使用超过 4 次。
force_for_root 强制 root 使用复杂的密码。

使用 passwd 命令测试新密码。
如果不满足,将说明具体原因。

使用 pam_google_authenticator.so 添加 MFA。
如果密码在 9 0 天后过期,请使用chase -M9 0。
如果1 5 分钟内连续3 次锁失败,则使用pam_faillock.so。

SSH禁用密码登录: 编辑sshd_config并设置密码验证号。
重新启动 sshd 服务。

使用 sudo 进行精确授权,无需 root 密码。
定期检查 sudoers 文件。

查看 auth.log 或安全日志。
使用 OSSEC 或 Splunk 进行监控。

自己掂量一下。

Linux用户passwd命令详解

Linux passwd命令...这个...2 02 2 年在北京...公司用得很多。

改密码就行了...这就是平台的基础。

我...我正在使用...作为普通用户...只需输入 passwd...然后它会要求您输入...原始密码...验证它...然后才能将其更改为新密码。

这很简单......对吧?
但是root用户...太棒了...可以用passwd...加上用户名...比如passwd alice...可以直接改Alice的密码...不用她原来的密码...这个很强大...
后来我意识到...root权限...这个...可以...锁定用户...我试过了...在上海...使用CentOS系统...输入passwd -l bob...哈哈...bob进不去好吧...帐户已被锁定...相当方便。

如果你想解锁...只要passwd -u bob...bob就可以再次登录...这是一个相当重要的...管理方法。

另外...删除密码... passwd -d charlie...我认为...这...相当危险...尤其是在生产环境中...例如上海的计算机实验室...我不怎么使用它...可能...不需要密码...任何人都可以登录...怎么了...也许我太极端了...但确实不推荐。

还有...强制更改密码... passwd -e alice...下次Alice登录...她必须更改密码...这也是2 02 2 年常见的操作...例如用户忘记...设置截止日期...强制她更改...
检查状态... passwd -S alice...可以看到密码...是否被锁定...是否已过期...这个...相当有用...管理员经常使用它。

归根结底...这个命令...与PAM有关.../etc/login.defs...这些配置...比如最小长度...比如必须包含数字...这些...在北京的服务器上...我调整了很多次...比较麻烦...
总之...passwd...是改密码...但是选项...-l... -u... -d...它们...很好用...可以控制用户...安全管理...例如...锁定测试帐户...防止不正确的活动...这就是现实生活……2 02 2 年……还是这样用……