Linux 服务器密码策略设置详解：从强度校验到过期策略的企业级要点

Linux 服务器密码强度与校验机制

核心概念与参数

在 Linux 服务器环境中，密码强度决定了远程暴力破解的难度，通常关注长度、字符集与不可预测性等因素。通过设置合适的最小长度、组合类别以及避免常见的弱口令，可以提升账户被破解的难度。

在 Linux 的认证框架中，PAM（Pluggable Authentication Modules）负责加载认证模块，强度校验的核心通常由 pam_pwquality 模块实现，它在用户创建或修改密码时进行实时校验。

# /etc/security/pwquality.conf
minlen = 12
dcredit = -1  # 至少包含一个数字
ucredit = -1  # 至少包含一个大写字母
lcredit = -1  # 至少包含一个小写字母
ocredit = -1  # 至少包含一个特殊字符
maxrepeat = 3
gecoscheck = 1

强度校验的落地要点

最小长度、数字/大写字母/小写字母/特殊字符的配比要求，以及对重复字符的限制，构成了首轮防线。对密码历史的保留也会影响新密码的多样性，减少重复利用。

在实际部署中，全局策略应通过 PAM 的配置信息进行统一，确保所有用户账户遵循相同的 强度校验规则。

Linux 服务器密码策略的实现工具与发行版差异

PAM 框架与核心模块

核心认证框架是 PAM，它允许管理员把 认证、账户、密码、会话等不同阶段的策略模块化。pam_pwquality、pam_pwhistory 与 pam_faillock 等模块，分别负责密码强度、历史记忆和登录失败锁定。

通过在相应的 /etc/pam.d 配置中引用这些模块，可以把策略落地到所有登录场景中。

常见发行版的配置样例

在 Debian/Ubuntu 系列，通常修改 /etc/pam.d/common-password，引入 pam_pwquality 的调用，并可结合 pam_pwhistory 以实现历史记忆。

# Debian/Ubuntu 示例：/etc/pam.d/common-password
password requisite pam_pwquality.so retry=3

在 RHEL/CentOS 等 Red Hat 系列，常在 /etc/pam.d/system-auth 中配置 pwquality，并配合 pam_pwhistory 与 pam_faillock，实现历史、锁定与强度的组合。

# RHEL/CentOS 示例：/etc/pam.d/system-auth
password requisite pam_pwquality.so retry=3
password sufficient pam_pwhistory.so remember=5
auth required pam_faillock.so preauth deny=5 unlock_time=900
auth [default=die] pam_faillock.so authfail deny=5 unlock_time=900
account required pam_faillock.so

账户锁定与历史的组合

结合 pam_faillock 与 pam_pwhistory，可以实现连续失败锁定与历史重复限制的双重保护，提升对暴力破解和口令重用的防护水平。

在多主机环境中，这些策略还需要与集中式认证系统对接，以保持一致性和可审计性。

Linux 服务器的密码过期策略与轮换机制

全局与单用户的过期设定

密码过期策略通过 PASS_MAX_DAYS、PASS_MIN_DAYS、以及 PASS_WARN_AGE 来控制密码的有效期、最短更换间隔，以及到期前的警告窗口。

管理员可使用 chage 对单个用户进行点对点的轮换策略调整，或通过全局配置对新建账户统一应用。

# 为用户设置最大有效期为 90 天
chage -M 90 username
# 将最短更改间隔设为 0 天，允许立即更改
chage -m 0 username
# 设置在到期前 14 天警告
chage -W 14 username

全局默认策略与影像字段

常见的全局默认设置存放在 /etc/login.defs，其中包含 PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_WARN_AGE 等键值。

# /etc/login.defs
PASS_MAX_DAYS   90
PASS_MIN_DAYS   0
PASS_WARN_AGE   14

另外，/etc/shadow 文件中的时间戳字段也体现了密码的年龄与到期逻辑，确保本地账户在到期前触发提醒与轮换。

企业级要点与合规性要求

集中化策略与审计

在大规模部署的环境中，集中化策略 能确保不同服务器遵循同一套密码策略模板，同时便于实现统一的审计与合规性追溯。

对策略执行的可观测性依赖于对登录事件、密码修改与策略变更的日志记录，这些日志构成 审计 的基础。

历史、锁定与 MFA 的组合

企业级场景通常将 密码历史、账户锁定、以及 多因素认证（MFA）组合使用，以降低横向移动风险。

# /etc/pam.d/system-auth（示意） 
password requisite pam_pwquality.so retry=3
password sufficient pam_pwhistory.so remember=5
auth required pam_faillock.so preauth deny=5 unlock_time=900
auth [default=die] pam_faillock.so authfail deny=5 unlock_time=900

与 IdP 的集成思路

为实现更统一的身份管理，可以将 Linux 服务器接入外部身份提供者（IdP），通过 SSO、LDAP/AD 等实现跨系统的统一认证和策略下放，从而提升合规性与运维效率。

# 示例：外部 MFA 方案的集成线索
# 具体实现需结合发行版、MFA 产品及 IdP 配置
auth required pam_oath.so usersfile=/etc/security/pam_oath_users -c -b