CentOS密码策略中，如何设置密码复杂度及过期时间？

1. 了解密码复杂度与过期时间的重要性

在CentOS系统中，密码策略的设置对于保障系统的安全至关重要。弱密码容易被暴力破解或字典攻击，而合理的密码复杂度和过期机制可以显著提高系统的安全性。以下是实现这一目标的基本步骤和关键配置。

1.1 常见问题分析

许多系统管理员在配置密码策略时会遇到以下问题：

• 如何设置密码最小长度？
• 如何强制要求密码包含大小写字母、数字和特殊字符？
• 如何定义密码的有效期以及警告期限？

这些问题可以通过编辑两个核心文件来解决：`/etc/login.defs` 和 `/etc/pam.d/system-auth`。

2. 编辑配置文件以设置密码策略

2.1 配置 /etc/login.defs 文件

`/etc/login.defs` 文件主要用于设置用户账户和密码的全局策略。以下是关键参数及其作用：

示例配置：

PASS_MAX_DAYS   90
PASS_MIN_DAYS   7
PASS_WARN_AGE   7

2.2 配置 /etc/pam.d/system-auth 文件

`/etc/pam.d/system-auth` 文件用于定义密码复杂度规则。以下是关键模块和参数：

• `password requisite pam_cracklib.so` 模块用于检查密码复杂度。
• `minlen` 参数设置密码最小长度。
• `ucredit`, `lcredit`, `dcredit`, `ocredit` 分别控制大写字母、小写字母、数字和特殊字符的数量。

示例配置：

password requisite pam_cracklib.so minlen=12 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

3. 验证策略是否生效

3.1 使用 chage 命令验证密码过期策略

通过 `chage` 命令可以查看和修改用户的密码过期信息。例如：

# 查看用户 testuser 的密码过期信息
chage -l testuser

# 设置用户 testuser 的密码过期时间为 90 天
chage -M 90 testuser

3.2 测试密码复杂度规则

尝试为用户设置一个不符合复杂度规则的密码，系统应提示错误。例如：

# 尝试设置一个简单密码
passwd testuser
New password: 123456
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word

4. 更新现有用户的密码规则

4.1 强制用户下次登录时更改密码

使用 `chage` 或 `passwd` 命令可以强制用户下次登录时更改密码：

# 方法一：使用 chage
chage -d 0 testuser

# 方法二：使用 passwd
passwd -e testuser

4.2 Mermaid 流程图展示更新流程

以下是更新现有用户密码规则的流程图：

graph TD;
    A[开始] --> B{是否需要更新？};
    B --是--> C[编辑 /etc/login.defs];
    C --> D[编辑 /etc/pam.d/system-auth];
    D --> E[验证策略];
    E --> F[完成];
    B --否--> G[无需操作];