如何确保用户在 Linux 上定期更新密码

要求更改密码是一种常见的安全实践，linux 系统管理员可以使用 chage 命令来查看和更改密码过期信息。

确保用户不时更改密码是许多系统管理员遵循的做法，作为其安全计划的一部分。这是网络防御的重要一步，因为它降低了密码被泄露的可能性。同时，要求过于频繁的更改可能会产生意想不到的副作用；用户可能会忍不住写下他们的密码，或者让密码变得更容易记住，这样其他人就更容易猜到它们可能是什么。

幸运的是，Linux 系统有一种方法可以强制执行一些关于必须更改密码的频率的计时规则。/etc/login.defs 文件允许您设置控制密码在过期前可以有效的时间 (PASS_MAX_DAYS) 的参数。它还允许您设置密码必须保持有效的最短天数 (PASS_MIN_DAYS)。第二个参数确保用户无法更改他/她的密码，然后将其重置为以前的密码 – 基本上相当于没有更改。

还可以向用户授予一个警告期，在此期间，他们会收到密码即将过期的警告 (PASS_WARN_DAYS)，并给他们时间思考难以猜测且相对容易记住的密码。

如果您只是使用默认值，这些设置无疑会导致密码不会过期。PASS_MAX_DAYS 设置的默认值为 99999，大约为 273 年。有了这样的值，没有人会看到他们的密码过期。

最后一次密码更改的值、密码最短期限和密码最长期限存储在 /etc/shadow 文件中。对于这些值，您可能会看到类似于“19790:0:99999”的值字符串。在此示例中，第一个值 (19790) 表示上次更改的日期（自 1970 年 1 月 1 日以来的天数）。0 是可以再次更改密码的最短天数。第三个当然是默认的密码有效期为 273 年。

例如，要更改 /etc/login.defs 文件中的默认设置，您可以将左侧看到的值更改为右侧看到的值，以更改它们以强制密码时效限制。

PASS_MAX_DAYS 99999 PASS_MAX_DAYS 99
PASS_MIN_DAYS 0 PASS_MIN_DAYS 9
PASS_WARN_AGE 7 PASS_WARN_AGE 9

然而，进行这些更改存在一个问题。它们不会影响现有用户。它们在 /etc/shadow 文件中的设置不会改变。为了对当前帐户实施密码限制，您必须使用 chage 命令，它可以让您查看和更改密码过期信息。这是一个例子：

# chage lola
Changing the aging information for lola
Enter the new value, or press ENTER for the default

        Minimum Password Age [0]: 9
        Maximum Password Age [99999]: 99
        Last Password Change (YYYY-MM-DD) [2023-03-08]:
        Password Expiration Warning [7]: 9
        Password Inactive [-1]:
        Account Expiration Date (YYYY-MM-DD) [-1]:

请注意，仅针对第一个、第二个和第四个提示提供响应。

一旦使用 chage 命令更改了设置，它们就会生效。