服务器设置密码为何必不可少？安全与便捷如何兼顾？

服务器设置密码是保障系统安全的第一道防线,弱密码或不当的密码管理可能导致未授权访问、数据泄露甚至服务中断，无论是个人服务器还是企业级服务器，密码的设置需遵循安全原则并结合实际场景优化，以下从重要性、核心原则、操作步骤、场景建议及常见误区等方面展开说明。

服务器密码设置的核心原则

密码的安全性直接决定服务器被攻击的风险,设置时需严格遵循以下原则，可通过表格清晰对比：

原则	具体要求	示例
长度足够	至少12位，推荐16位以上，字符越多暴力破解难度指数级上升	`Server@2024!#$`（16位，含大小写、数字、特殊字符）
复杂度高	包含大小写字母、数字、特殊字符（如!@#$%^&*），避免纯字母或纯数字	避免使用`Admin123`（纯字母+数字，易被字典攻击）
避免弱密码	禁止使用生日、姓名、连续字符（如123456）、常见词汇（如password、admin）	不使用`20240520`（生日）、`qwerty`（连续键盘字符）
定期更换	管理员账户建议每90天更换，普通账户每180天更换，长期未更换的密码可能因泄露被利用	创建密码时记录更换日期，设置系统自动提醒
唯一性	不同服务器、不同系统使用不同密码，避免“一码通用”导致连锁风险	Web服务器密码与数据库服务器密码区分，即使一个泄露不影响其他系统
避免明文存储	密码需加密存储（如使用bcrypt、SHA-256等算法），严禁将密码写在记事本或共享文档中	通过`passwd`命令修改密码时，系统自动加密存储，而非明文记录

修改用户密码：登录服务器后，使用passwd命令，按提示输入两次新密码，例如修改root密码：
```
sudo passwd root
```
系统会自动验证密码复杂度（若启用PAM密码策略），不符合要求会提示重新输入。
设置密码策略：通过/etc/login.defs文件（全局策略）或pam_pwquality模块（细化规则）限制密码复杂度，例如在/etc/login.defs中设置：
```
PASS_MIN_LEN 12          # 最小长度12位
PASS_MAX_DAYS 90         # 密码有效期90天
PASS_WARN_AGE 7          # 提前7天提醒更换
```
对于Ubuntu系统,可安装libpam-pwquality包实现更严格的策略（如禁止连续重复字符、包含数字等）。
SSH登录密码强化：编辑/etc/ssh/sshd_config文件，禁用root直接SSH登录（避免暴力破解root密码），设置：
```
PermitRootLogin no
MaxAuthTries 3          # 最多尝试3次，防止暴力破解
```
修改后重启SSH服务：systemctl restart sshd。

通过图形界面设置密码：
1. 按Win+R输入lusrmgr.msc打开本地用户和组管理器；
2. 双击用户（如Administrator），点击“设置密码”，输入符合策略的新密码；
3. 在“本地安全策略”（secpol.msc）中设置密码复杂度策略：
  - 路径：安全设置 → 账户策略 → 密码策略；
  - 启用“密码必须符合复杂性要求”（默认启用），设置“密码最小长度”为12，“密码最长使用期限”为90天。
通过PowerShell批量设置：
使用Set-LocalUser命令修改密码，
```
Set-LocalUser -Name "Administrator" -Password (Read-Host -AsSecureString "输入新密码")
```
可结合Group Policy（组策略）实现域内服务器的统一密码策略管理。

误区：使用“服务器名+生日”作为密码，方便记忆。
风险：易被社工攻击（攻击者可通过公开信息获取服务器名和用户生日）。
规避：使用密码管理器（如KeePass、Bitwarden）生成并存储随机密码，或通过首字母法（如“服务器2024年5月安全部署！”→Fw@2024!#Anq）创建易记且复杂的密码。
误区：密码长期不更换，认为“只要不被破解就不用改”。
风险：密码可能因历史漏洞（如网站数据库泄露）被撞库破解，长期使用导致泄露概率上升。
规避：设置系统自动提醒更换密码，结合服务器安全审计（如登录日志分析），定期检查异常登录行为。