在Linux系统中设置强密码是保护账户安全的核心措施,以下为详细操作指南及最佳实践,遵循Linux官方文档及安全标准(如NIST SP 800-63B),确保操作的专业性与可靠性:
基础密码设置方法
当前用户修改自身密码
passwd
- 系统提示输入当前密码(验证身份)
- 输入新密码(需输入两次确认)
- 密码字符默认不显示(安全设计)
root用户修改其他用户密码
sudo passwd username # 替换username为目标用户名
- 无需输入当前密码(root权限直接覆盖)
- 适用于管理员重置普通用户密码
首次登录强制改密
sudo passwd --expire username
- 用户下次登录时系统强制要求重置密码
- 适用于新账户或密码泄露后的紧急重置
配置密码策略(提升安全性)
安装密码强度工具
# RHEL/CentOS sudo yum install libpwquality
编辑策略配置文件
sudo nano /etc/security/pwquality.conf
关键参数示例:
minlen = 12 # 最小长度12位 minclass = 3 # 包含至少3类字符(大小写/数字/符号) maxrepeat = 3 # 禁止连续4个相同字符 usercheck = 1 # 禁止密码包含用户名
设置密码有效期
sudo nano /etc/login.defs
修改参数:
PASS_MAX_DAYS 90 # 密码最长有效期 PASS_MIN_DAYS 7 # 两次修改间隔最小天数 PASS_WARN_AGE 14 # 过期前14天警告
安全最佳实践
-
密码复杂度要求
- 长度≥12字符,混合大小写字母、数字、符号(如
J7$k9!Pq2#Lm) - 避免常见词汇、生日、重复序列(如
123456、password)
- 长度≥12字符,混合大小写字母、数字、符号(如
-
定期更换策略
- 每90天强制更换密码(敏感系统可缩短至30天)
- 使用历史记录防止重复:
sudo nano /etc/pam.d/common-password
添加
remember=5禁止使用前5次旧密码
-
双因素认证(2FA)
sudo apt install google-authenticator # 安装Google验证器 google-authenticator # 按提示绑定手机
登录时需密码+动态验证码
故障处理
- 密码拒绝生效:检查
/var/log/auth.log中的策略报错 - 忘记root密码:
- 重启系统进入GRUB恢复模式
- 挂载根分区为读写:
mount -o remount,rw / - 用
passwd重置密码
安全原则说明
- 禁用空密码(检查
/etc/shadow第二列为 或 ) - 特权账户(root、sudo用户)必须使用最长、最复杂密码
- 定期审计:使用
chage -l username查看密码状态
引用说明
本文操作基于:
- Linux
man-pages官方文档(passwd, pam_pwquality)- NIST《数字身份指南》SP 800-63B 密码强度标准
- Red Hat企业安全配置指南
实际命令可能因发行版(Ubuntu/RHEL等)略有差异,请以系统手册为准。
通过以上措施,可显著降低暴力破解风险,符合企业级安全要求,定期更新系统并限制SSH尝试次数(如 fail2ban)可进一步加固防护。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/4571.html
