如何强制 Linux 中的用户更改密码

Linux是一种强大且高度可配置的操作系统，被广泛用于服务器和开发环境。安全性是Linux的一大优点，其中一部分安全性来自于用户账户和密码管理。本文将详细介绍如何在Linux中强制用户更改密码，以提高系统的整体安全性。

第一章：Linux中的密码策略

密码策略在Linux系统中扮演着重要的角色，它是保护系统安全、防止未授权访问的有效工具。以下是一些常见的密码策略：

1. 密码复杂性：密码应该包含数字、字母（包括大写和小写）以及特殊字符，以增加破解难度。密码不应该包含用户的个人信息，如名字、生日等。

2. 密码长度：密码的长度也是其复杂性的一个重要因素。一般来说，密码长度至少应该为8个字符，但是更长的密码（例如12个或更多字符）会更安全。

3. 密码有效期：为了防止密码被长时间使用而增加被破解的风险，应该定期更换密码。例如，可以设置密码每60或90天就必须更改。

4. 密码历史：为了防止用户反复使用同一密码，可以通过密码历史策略来限制用户重新使用旧密码。例如，可以设置在5次密码更改之内不能使用同一密码。

5. 账户锁定策略：当发生连续多次的登录失败尝试时，应该暂时或永久地锁定用户账户。这可以防止暴力破解攻击。

通过设置和执行这些密码策略，管理员可以有效地提高Linux系统的安全性。

第二章：如何设置密码策略

在Linux中，你可以使用PAM (Pluggable Authentication Modules) 模块来设置密码策略。PAM提供了一种灵活的方式来管理用户的认证。

以下是如何使用PAM设置密码策略的步骤：

1. 打开PAM配置文件：你需要编辑/etc/pam.d/common-password文件。可以使用你喜欢的文本编辑器打开这个文件，例如vim或nano。命令可能类似于sudo nano /etc/pam.d/common-password。

2. 设置密码长度：在/etc/pam.d/common-password文件中，你可以通过修改或添加以下行来设置密码长度：

   password    [success=1 default=ignore]  pam_unix.so obscure use_authtok try_first_pass sha512 minlen=12

   这里的minlen=12设置了密码的最小长度为12。

3. 设置密码复杂性：你可以使用pam_cracklib.so模块来设置密码复杂性。例如：

   password    requisite   pam_cracklib.so retry=3 minlen=12 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

   这里的参数含义如下：

   • retry=3：用户在输入错误密码后有3次重试机会。
   • minlen=12：密码的最小长度为12。
   • difok=3：新密码和旧密码至少需要有3个字符不同。
   • ucredit=-1：密码必须至少包含一个大写字母。
   • lcredit=-1：密码必须至少包含一个小写字母。
   • dcredit=-1：密码必须至少包含一个数字。
   • ocredit=-1：密码必须至少包含一个特殊字符。

4. 设置密码历史：你可以通过remember选项设置密码历史，防止用户反复使用同一密码。例如：

   password    [success=1 default=ignore]  pam_unix.so obscure use_authtok try_first_pass sha512 remember=5

   这里的remember=5表示系统将记住用户最后5次的密码，防止用户使用这些密码。

5. 保存并关闭文件：保存你的更改，并关闭编辑器。

6. 测试设置：最后，你应该测试你的设置，确保它们按照你的预期工作。你可以尝试创建一个新的用户账户，或者更改现有用户的密码，看看系统是否强制执行你的密码策略。

请注意，这些设置可能会根据你的Linux发行版有所不同。

第三章：如何手动让用户更改密码

使用passwd命令

在Linux中，可以使用passwd命令强制用户在下次登录时更改密码。例如，要强制用户john在下次登录时更改密码，你可以使用以下命令：

sudo passwd --expire john

使用chage命令

chage命令可以更改用户密码的到期日期。例如，要强制用户john在7天后更改密码，你可以使用以下命令：

sudo chage -d 7 john

第四章：定期提醒用户更改密码

定期提醒用户更改密码是一种有效的安全策略，它可以确保用户密码的复杂性和有效性，从而提高系统的整体安全性。在Linux中，我们可以使用cron job来实现这个功能。以下是详细的步骤。

创建脚本

首先，我们需要创建一个脚本来检查用户密码的到期日期。这个脚本将遍历所有用户，检查他们的密码到期日期，如果密码即将到期，就发送一封提醒邮件。以下是一个简单的脚本示例：

#!/bin/bash
for user in $(cut -f1 -d: /etc/passwd)
do
  expiry_date=$(chage -l $user | grep 'Password expires' | cut -d: -f2)
  today_date=$(date +%Y-%m-%d)
  days_left=$(( ( $(date -d "$expiry_date" +%s) - $(date -d "$today_date" +%s) )/(60*60*24) ))

  if [ "$days_left" -le 7 ]; then
    echo "Your password will expire in $days_left days" | mail -s "Password Expiry Warning" $user
  fi
done

这个脚本首先获取系统中所有用户的列表，然后对每个用户，它使用chage -l命令来获取密码到期日期，然后计算今天和到期日期之间的天数。如果剩余天数小于或等于7，它将发送一封提醒邮件。

设置cron job

有了这个脚本，我们就可以设置一个cron job来定期运行这个脚本。首先，我们需要将这个脚本保存到一个文件中，比如/home/user/password_reminder.sh。然后，我们可以使用crontab -e命令来编辑cron表。

在cron表中，我们可以添加以下行来每天早上9点运行这个脚本：

0 9 * * * /home/user/password_reminder.sh

这样，每天早上9点，系统就会运行我们的脚本，检查用户密码的到期日期，并在需要的时候发送提醒邮件。

强制用户定期更改密码是保持Linux系统安全的重要手段。通过使用passwd和chage命令，以及设置密码复杂性规则和定期提醒，管理员可以有效地管理用户密码，提高系统的安全性。