Linux 服务器的密码安全成为防御体系的核心环节，弱密码、密码泄露及暴力破解等问题频发，导致服务器面临数据泄露、权限滥用等风险。通过配置合理的密码策略，可显著提升账户安全性，降低因密码管理不当引发的安全事件概率，成为 Linux 系统安全加固的必要操作。

本案例围绕 Linux 系统密码策略配置展开，涵盖时效性管理、复杂度设置与登录限制三大核心模块。

时效性管理：设置密码最小修改间隔 7 天、最长有效期 90 天，限制 5 次内密码重用。

复杂度强化：要求密码至少 9 字符、含 3 类字符，提前 14 天警告过期。

登录防护：连续 3 次错误登录锁定账户 30 分钟，新用户首次登录强制改密，通过chage等命令查看与应用策略。

3.3.1 密码时效性管理

（1）设置密码修改最小间隔时间：编辑/etc/login.defs文件，设置PASS_MIN_DAYS 7，这确保用户在 7 天内无法更改密码，防止频繁更改密码绕过安全策略。

（2）设置密码失效时间：在/etc/login.defs文件中设置PASS_MAX_DAYS 90，并对root用户执行chage --maxdays 90 root。密码 90 天后失效，强制用户定期更换密码，降低密码泄露风险。

（3）限制密码重用：编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件，在password sufficient pam_unix.so行后添加remember=5。用户至少使用 5 次不同密码后才能重用旧密码，避免因重复使用旧密码导致的安全问题。

3.3.2 密码复杂度设置与过期警告

（4）设置密码复杂度检查：编辑
/etc/security/pwquality.conf文件，设置minlen=9和minclass=3。要求密码长度至少 9 个字符，且包含至少三种不同类型字符（如大小写字母、数字、特殊符号），增强密码强度。

（5）启用密码历史记录检查：在/etc/pam.d/password-auth和/etc/pam.d/system-auth文件中添加pam_pwhistory.so remember=5，记录用户最近 5 次使用的密码，防止用户短期内重复使用旧密码。

（6）设置密码过期警告时间：对root用户执行chage --warndays 14 root，在密码过期前 14 天向用户发出警告，提醒用户及时更换密码。

3.3.3 密码登录限制管理

（1）锁定多次密码错误的账户：编辑/etc/pam.d/system-auth文件，添加auth required pam_tally2.so deny=3 unlock_time=1800。用户连续 3 次密码错误后账户被锁定，1800 秒（30 分钟）后自动解锁，防止暴力破解攻击。

（2）查看密码策略设置：执行chage -l username查看指定用户的密码策略设置，确保各项密码策略正确应用到用户账户。

（3）强制用户下次登录修改密码：对新用户执行chage -d 0 newuser，新用户下次登录时必须修改密码，保障新用户账户密码安全。

#网络安全有你有我##我要上头条#