/etc/login.defs 配置用户管理默认行为，定义密码策略（PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE）、用户和组ID范围（UID_MIN、UID_MAX、GID_MIN、GID_MAX）、家目录创建（CREATE_HOME）、私有组启用（USERGROUPS_ENAB）、密码加密方式（ENCRYPT_METHOD）、邮箱路径（MAIL_DIR）、登录失败记录（FAILLOG_ENAB、LOG_UNKFAIL_ENAB）、特权命令日志（SYSLOG_SU_ENAB、SYSLOG_SG_ENAB）及TTY权限（TTY_PERM、TTY_GROUP），协同PAM与系统文件实现账户生命周期管理。

Linux 系统中的 /etc/login.defs 文件是用户账户管理和登录过程的重要配置文件，它定义了与用户创建、密码策略、权限控制等相关的默认行为。这个文件主要用于控制 useradd、passwd、login 等命令的行为，尤其在新建用户时起关键作用。

PASS_MAX_DAYS - 密码最大有效期

设置用户密码的最长使用天数，超过该期限后必须修改密码。

• 建议值：60～90 天以增强安全性
• 设为 -1 或 99999 表示永不过期（不推荐用于生产环境）

PASS_MIN_DAYS - 密码最小修改间隔

限制用户两次修改密码之间的最短时间，防止用户频繁更改以绕过历史记录。

• 设为 0 允许随时修改
• 设为 7 表示至少7天后才能改密码

PASS_MIN_LEN - 密码最小长度

定义密码的最小字符数要求。

• 注意：实际强度还受 PAM 模块（如 pam_pwquality）影响
• 建议设置为 8 或更高

PASS_WARN_AGE - 密码过期前警告天数

在密码即将到期前多少天开始提醒用户。

• 设为 7 表示提前一周提示
• 设为 0 则不提醒

UID_MIN 和 UID_MAX - 普通用户ID范围

指定使用 useradd 创建普通用户时分配的 UID 范围。

• 系统账户通常使用 1～999 的 UID
• 新用户从 UID_MIN 开始分配，避免与系统用户冲突

GID_MIN 和 GID_MAX - 普通组ID范围

与 UID 类似，用于控制组 ID 的自动分配范围。

• 确保用户组不会占用系统组的 GID

CREATE_HOME - 是否自动创建主目录

控制 useradd 是否默认为新用户创建家目录。

• yes：自动创建 /home/username
• no：不创建，用户登录可能出问题

USERGROUPS_ENAB - 是否为每个用户创建同名私有组

启用后，useradd 会为新用户创建一个与其用户名相同的组作为主组。

• 现代 Linux 发行版普遍启用此选项
• 有助于简化文件权限管理

ENCRYPT_METHOD - 密码加密方式

定义 shadow 密码使用的加密算法。

• 可选值：DES、MD5、SHA256、SHA512
• SHA512 更安全，推荐使用

MAIL_DIR - 用户邮箱目录

设置用户邮件 spool 文件的存储路径。

• 大多数系统使用默认路径
• 若未安装邮件服务，此配置可忽略

FAILLOG_ENAB - 是否启用失败登录记录

是否记录用户登录失败信息到 /var/log/faillog。

• 开启有助于安全审计和异常检测

LOG_UNKFAIL_ENAB - 记录未知用户的登录失败

即使用户名不存在，也记录失败尝试。

• 开启可能暴露有效用户名信息，需权衡安全与隐私

SYSLOG_SU_ENAB 和 SYSLOG_SG_ENAB - su 和 sg 日志记录

控制是否将 su 和 sg 命令的使用记录写入 syslog。

• 建议开启，便于追踪特权操作

TTY_PERM 和 TTY_GROUP - TTY 设备权限

定义登录终端设备的访问权限和所属组。

• 0600 表示仅属主可读写，提高安全性
• tty 组可用于授权特定用户访问串口或终端

基本上就这些。/etc/login.defs 不直接控制系统所有安全策略，但它与 PAM、/etc/passwd、/etc/shadow 配合工作，是用户生命周期管理的基础配置。修改前建议备份原文件，并理解每项参数的实际影响。

# linux  # ai  # 配置文件  # 邮箱  # mail  # var  # 算法  # 加密算法  # 设为  # 用户登录  # 普通用户  # 修改密码  # 终端设备  # 推荐使用  # 两次  # 不存在  # 可选  # 历史记录 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： 如何在IIS管理器中快速创建并配置网站？  Win11怎样安装网易有道词典_Win11安装词典教程【步骤】  清除minerd进程的简单方法  如何在阿里云服务器自主搭建网站？  Linux网络带宽限制_tc配置实践解析【教程】  Laravel怎么写单元测试_PHPUnit在Laravel项目中的基础测试入门  php json中文编码为null的解决办法  如何在云指建站中生成FTP站点？  如何在景安服务器上快速搭建个人网站？  微信小程序 scroll-view组件实现列表页实例代码  Laravel如何升级到最新版本？（升级指南和步骤）  Laravel如何使用Vite进行前端资源打包？（配置示例）  Laravel如何使用Socialite实现第三方登录？（微信/GitHub示例）  iOS UIView常见属性方法小结  利用python获取某年中每个月的第一天和最后一天  nginx修改上传文件大小限制的方法  Laravel怎么配置不同环境的数据库_Laravel本地测试与生产环境动态切换【方法】  悟空浏览器如何设置小说背景色_悟空浏览器背景色设置【方法】  Laravel如何实现API版本控制_Laravel版本化API设计方案  Win11怎么修改DNS服务器 Win11设置DNS加速网络【指南】  Laravel怎么创建自己的包(Package)_Laravel扩展包开发入门到发布  Bootstrap整体框架之CSS12栅格系统  夸克浏览器网页跳转延迟怎么办 夸克浏览器跳转优化  如何在搬瓦工VPS快速搭建网站？  详解jQuery停止动画——stop()方法的使用  Laravel如何使用Eloquent ORM进行数据库操作？（CRUD示例）  JS经典正则表达式笔试题汇总  iOS发送验证码倒计时应用  如何在Ubuntu系统下快速搭建WordPress个人网站？  Laravel如何为API生成Swagger或OpenAPI文档  如何在腾讯云免费申请建站？  Laravel如何实现全文搜索功能？（Scout和Algolia示例）  瓜子二手车官方网站在线入口 瓜子二手车网页版官网通道入口  JavaScript模板引擎Template.js使用详解  如何挑选高效建站主机与优质域名？  Java类加载基本过程详细介绍  黑客如何通过漏洞一步步攻陷网站服务器？  Python进程池调度策略_任务分发说明【指导】  Laravel怎么处理异常_Laravel自定义异常处理与错误页面教程  Laravel如何使用API Resources格式化JSON响应_Laravel数据资源封装与格式化输出  Laravel怎么使用Collection集合方法_Laravel数组操作高级函数pluck与map【手册】  Laravel如何实现密码重置功能_Laravel密码找回与重置流程  如何用西部建站助手快速创建专业网站？  Java垃圾回收器的方法和原理总结  php增删改查怎么学_零基础入门php数据库操作必知基础【教程】  专业企业网站设计制作公司,如何理解商贸企业的统一配送和分销网络建设？  Laravel中间件如何使用_Laravel自定义中间件实现权限控制  西安专业网站制作公司有哪些,陕西省建行官方网站？  网站视频制作书签怎么做,ie浏览器怎么将网站固定在书签工具栏？  Laravel Eloquent模型如何创建_Laravel ORM基础之Model创建与使用教程