如何在Linux中设置密码策略 Linux pam_pwquality配置_网络技术

如何在Linux中设置密码策略 Linux pam_pwquality配置

发布时间 - 2025-09-06 00:00:00 点击率：次

设置Linux密码策略需配置pam_pwquality模块，通过修改/etc/pam.d/common-password文件，设置retry、minlen、minclass、difok等参数强制密码复杂度，并结合chage命令或pwscore脚本强制用户更新合规密码，同时可启用pam_tally2、pam_faillock等模块增强账户安全。

设置Linux密码策略的核心在于提升系统安全性，防止弱密码带来的风险。这主要通过配置

pam_pwquality

模块来实现，它能强制用户设置符合一定复杂度的密码。

解决方案

安装必要的软件包： 确保系统中安装了
```
libpwquality
```
和
```
pam_pwquality
```
。大多数Linux发行版默认安装了这些包，但如果未安装，可以使用包管理器进行安装。例如，在Debian/Ubuntu系统中，可以使用
```
sudo apt-get install libpwquality pam_pwquality
```
命令。
编辑PAM配置文件：
```
pam_pwquality
```
的配置位于
```
/etc/pam.d/common-password
```
文件中。使用文本编辑器（如
```
nano
```
或
```
vim
```
）打开该文件，并找到包含
```
pam_unix.so
```
的行。
```
sudo nano /etc/pam.d/common-password
```
添加或修改
```
pam_pwquality.so
```
配置： 在
```
pam_unix.so
```
行之前添加或修改
```
pam_pwquality.so
```
的配置。以下是一些常用的配置选项：
- ```
retry=N
```
  : 用户密码设置失败后，允许尝试的次数。例如，
```
retry=3
```
  表示允许尝试3次。
- ```
minlen=N
```
  : 密码的最小长度。例如，
```
minlen=12
```
  表示密码至少需要12个字符。
- ```
minclass=N
```
  : 密码中必须包含的字符类别数（例如，大写字母、小写字母、数字、特殊字符）。例如，
```
minclass=3
```
  表示密码至少包含3种不同类型的字符。
- ```
dcredit=-N
```
  : 减少数字字符对密码强度的贡献。例如，
```
dcredit=-1
```
  表示数字字符对密码强度的贡献降低1。
- ```
ucredit=-N
```
  : 减少大写字母对密码强度的贡献。
- ```
lcredit=-N
```
  : 减少小写字母对密码强度的贡献。
- ```
ocredit=-N
```
  : 减少特殊字符对密码强度的贡献。
- ```
difok=N
```
  : 新密码与旧密码相比，至少需要改变的字符数。例如，
```
difok=5
```
  表示新密码与旧密码相比，至少需要改变5个字符。
- ```
enforce_for_root
```
  : 将密码策略强制应用于root用户。
- ```
user_unknown_ok
```
  : 如果用户不存在，则允许密码更改。
一个典型的配置示例：
```
password requisite pam_pwquality.so retry=3 minlen=12 minclass=3 difok=5
```
这个配置表示密码至少需要12个字符，包含至少3种不同类型的字符，并且与旧密码相比至少需要改变5个字符，允许尝试3次。
保存并关闭文件： 保存对
```
/etc/pam.d/common-password
```
文件的更改，并关闭编辑器。
测试配置： 尝试更改用户密码，以验证配置是否生效。如果密码不符合策略要求，系统会提示错误信息。

如何理解

pam_pwquality

模块的参数含义，以便更好地自定义密码策略？

理解

pam_pwquality

模块的参数是定制有效密码策略的关键。

minlen

控制密码的整体长度，直接影响破解难度。

minclass

则关注密码的复杂性，强制用户使用多种字符类型，增加破解难度。

difok

防止用户简单地重复使用旧密码，确保密码的演进。

retry

参数在用户体验和安全性之间做平衡，给予用户几次尝试机会，同时避免暴力破解。

dcredit

ucredit

lcredit

ocredit

允许你细粒度地调整不同字符类型对密码强度的影响，例如，如果你的应用环境对数字字符的安全性有较高要求，可以适当降低

dcredit

的值。

enforce_for_root

是一个重要的安全选项，确保root用户也遵循相同的密码策略，避免系统出现安全漏洞。配置时，应结合实际应用场景和安全需求，选择合适的参数值。

修改密码策略后，如何确保现有用户密码符合新的策略？

修改密码策略后，现有用户的密码可能不符合新的要求。要确保所有用户都符合新策略，可以采取以下步骤：

强制用户更改密码： 可以使用
```
chage
```
命令强制用户在下次登录时更改密码。例如，
```
sudo chage -d 0 username
```
会将指定用户的密码过期日期设置为0，迫使其在下次登录时更改密码。
编写脚本检测密码强度： 可以编写一个脚本，使用
```
pwscore
```
命令（
```
libpwquality
```
包提供）检测现有用户密码的强度。如果密码强度低于新策略的要求，则强制用户更改密码。
```
#!/bin/bash
# 检测用户密码强度的脚本
for user in $(cut -d: -f1 /etc/passwd); do
  pwscore=$(sudo pwscore $user)
  if [ $pwscore -lt 密码强度阈值 ]; then
    echo "用户 $user 密码强度不足，请更改密码。"
    sudo chage -d 0 $user
  fi
done
```
将
```
密码强度阈值
```
替换为根据你的
```
pam_pwquality
```
配置计算出的适当值。例如，如果
```
minlen=12
```
且
```
minclass=3
```
，则可以将阈值设置为一个相对较高的值，以确保密码符合要求。
使用密码策略管理工具： 一些第三方密码策略管理工具可以帮助你批量管理用户密码，并强制用户遵守新的密码策略。
定期审查密码策略： 密码策略不是一成不变的，应定期审查和更新密码策略，以应对新的安全威胁。

除了

pam_pwquality

，还有哪些PAM模块可以增强Linux系统的安全性？

除了

pam_pwquality

，还有许多PAM模块可以增强Linux系统的安全性。

```
pam_tally2
```
: 用于锁定尝试多次登录失败的帐户，防止暴力破解攻击。可以配置锁定时间和尝试次数。
```
pam_faillock
```
: 类似于
```
pam_tally2
```
，但提供了更细粒度的控制，例如可以针对不同的服务配置不同的锁定策略。
```
pam_google_authenticator
```
: 实现双因素身份验证，增加登录安全性。需要用户使用Google Authenticator应用生成验证码。
```
pam_radius_auth
```
: 使用RADIUS服务器进行身份验证，适用于集中式身份验证管理。
```
pam_access
```
: 基于用户、组、主机或网络限制访问权限。
```
pam_limits
```
: 限制用户使用的系统资源，例如CPU时间、内存等，防止恶意用户耗尽系统资源。
```
pam_sepermit
```
: 与SELinux集成，允许用户在SELinux上下文中获得权限。