Ubuntu密码策略配置详解（手把手教你提升Linux系统账户安全性）

一、为什么需要配置Ubuntu密码策略？

默认情况下，Ubuntu对用户密码的要求较为宽松，这可能导致弱密码被使用，从而增加系统被暴力破解的风险。通过配置Linux密码安全策略，我们可以强制用户使用更复杂的密码，定期更换，并防止重复使用旧密码，从而大幅提升Ubuntu账户安全水平。

二、准备工作

在开始之前，请确保你拥有以下权限：

• 具有sudo权限的用户账户
• 已安装Ubuntu 18.04或更高版本（本文以Ubuntu 22.04为例）

三、安装必要的PAM模块

Ubuntu使用PAM（Pluggable Authentication Modules）来管理认证策略。我们需要安装libpam-pwquality包来启用密码复杂度检查：

sudo apt updatesudo apt install libpam-pwquality -y

四、配置密码复杂度策略

编辑PAM配置文件以启用密码强度检查：

sudo nano /etc/pam.d/common-password

找到包含pam_pwquality.so的那一行（如果没有，则在文件末尾添加），并修改为如下内容：

password requisite pam_pwquality.so retry=3 minlen=12 difok=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

参数说明：

• retry=3：允许用户最多尝试3次输入新密码
• minlen=12：密码最小长度为12位
• difok=3：新密码至少有3个字符与旧密码不同
• ucredit=-1：至少包含1个大写字母
• lcredit=-1：至少包含1个小写字母
• dcredit=-1：至少包含1个数字
• ocredit=-1：至少包含1个特殊字符（如!@#$%）
• enforce_for_root：对root用户也强制执行此策略

五、配置密码历史与重复使用限制

为防止用户重复使用旧密码，我们需要启用密码历史记录功能。首先编辑/etc/login.defs文件：

sudo nano /etc/login.defs

找到PASS_MAX_DAYS、PASS_MIN_DAYS和PASS_WARN_AGE并修改为：

PASS_MAX_DAYS   90PASS_MIN_DAYS   7PASS_WARN_AGE   14

含义如下：

• PASS_MAX_DAYS 90：密码90天后过期
• PASS_MIN_DAYS 7：密码至少使用7天后才能更改
• PASS_WARN_AGE 14：密码过期前14天开始提醒用户

接下来，启用密码历史记录。编辑/etc/pam.d/common-password，在pam_pwquality.so行下方添加：

password sufficient pam_unix.so obscure use_authtok try_first_pass sha512 remember=5

其中remember=5表示系统会记住最近5次使用的密码，禁止用户重复使用。

六、验证配置是否生效

创建一个测试用户并尝试修改密码，观察系统是否按策略要求提示：

sudo adduser testusersudo passwd testuser

当你尝试设置不符合策略的密码（如太短、缺少数字等）时，系统会拒绝并提示错误信息。

七、常见问题与注意事项

• 修改PAM配置前建议先备份原文件，以防配置错误导致无法登录。
• 某些桌面环境（如GNOME）可能有自己的密码策略界面，但底层仍依赖PAM。
• 若配置后无法修改密码，请检查日志：/var/log/auth.log。

八、总结

通过以上步骤，你已经成功为Ubuntu系统配置了完整的密码复杂度设置策略。这不仅能有效防止弱密码的使用，还能规范用户的密码更换行为，显著提升整体系统安全性。作为系统管理员，定期审查和更新安全策略是保障数据安全的重要职责。

希望这篇教程能帮助你掌握Ubuntu密码策略的核心配置方法。如果你觉得有用，欢迎分享给更多需要的朋友！