Linux如何设置用户密码策略？/etc/login.defs配置说明

/etc/login.defs用于设置密码策略及用户id分配规则。pass_max_days设密码最长使用天数，如90；pass_min_days限制最短修改间隔，如1天；pass_warn_age提前提醒天数，如7天。密码复杂度需通过pam模块配置，如minlen=10、ucredit=-1等。用户id分配通过uid_min和uid_max定义范围，如1000-60000，gid同理。其他选项包括create_home控制家目录创建，usergroups_enab启用私有组，mail_dir指定邮件路径。

在Linux系统中，设置用户密码策略是保障系统安全的重要一步。/etc/login.defs 文件是控制用户账户默认行为的核心配置文件之一，尤其在密码过期、最小长度、UID范围等方面起着关键作用。

下面我们就来看看如何通过 /etc/login.defs 来设置常见的密码策略。

---

密码过期时间设置：合理控制更新频率

为了防止长期不更换密码带来的安全隐患，可以通过以下参数来控制密码的有效期：

• PASS_MAX_DAYS：密码最长使用天数，比如设置为 99999 表示几乎不过期，建议设为 90 左右。
• PASS_MIN_DAYS：两次修改密码之间的最短天数，用于防止用户频繁更改密码绕过策略。
• PASS_WARN_AGE：密码到期前多少天开始提醒用户修改，通常设为 7 天比较合适。

举个例子，如果你设置了：

PASS_MAX_DAYS 60
PASS_MIN_DAYS 1
PASS_WARN_AGE 5

那么用户的密码每60天必须更新一次，每天可以改一次以上，并且提前5天就会收到提醒。

---

密码复杂度虽然不在login.defs中，但别忘了PAM模块

需要注意的是，密码复杂度（如必须包含大小写、数字等）并不由 /etc/login.defs 控制，而是通过 PAM 模块（如 /etc/pam.d/common-password 或 /etc/pam.d/system-auth）实现。

didicms企业网站管理系统 Build 110509

程序说明： 模板化制作，修改更加简单。 后台登陆地址：/admin/login.asp 帐号密码都是admin 后台说明如下 站点配置管理：可修改站点名称公司联系方式和版权信息等。 首页幻灯管理：可修改首页幻灯，共计5个，自由修改。 频道分类管理：自由设置网站分类，使网站扩展性能更强。 企业信息管理：自由增加单页面，自由调用。 信息发布管理：可以添加修改删除各种产品信息，新闻信息等。 客户留言管理

0 查看详情

比如，在 Ubuntu 上你可以编辑 /etc/pam.d/common-password 添加或修改这一行：

password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

这样就要求密码至少10位，并且必须包含大小写字母、数字和特殊字符。

所以 /etc/login.defs 主要处理的是密码生命周期的问题，而复杂度需要配合 PAM 设置。

---

用户ID和组ID分配规则：避免权限混乱

除了密码相关设置，/etc/login.defs 还定义了新用户创建时的 UID/GID 范围：

• UID_MIN 和 UID_MAX：指定普通用户的 UID 起始和结束范围，例如：

  UID_MIN 1000
  UID_MAX 60000

• GID_MIN 和 GID_MAX：同理，用于组 ID 的范围。

这些设置有助于统一管理多台服务器上的用户账号，避免不同机器上相同用户名对应不同 UID 的问题，尤其是在使用 NFS 或 LDAP 等共享环境时尤为重要。

另外还有几个常见选项也值得关注：

• CREATE_HOME：是否为新用户自动创建家目录，默认为 yes。
• USERGROUPS_ENAB：是否为每个新用户创建同名私有组，默认为 yes。
• MAIL_DIR：指定用户邮件存放路径，默认是 /var/mail。

---

基本上就这些。
虽然 /etc/login.defs 不负责密码复杂性，但它是整个用户管理和密码策略的基础配置之一。理解并正确配置它，能有效提升系统的安全性与一致性。

以上就是Linux如何设置用户密码策略？/etc/login.defs配置说明的详细内容，更多请关注其它相关文章！