RockyLinux密码策略配置详解（手把手教你强化Linux系统安全）

一、为什么需要配置密码策略？

默认情况下，RockyLinux对用户密码的要求较为宽松，这可能导致弱密码被使用，从而带来安全隐患。通过合理配置Linux系统安全相关的密码策略，可以强制用户设置更复杂的密码，有效防止暴力破解和字典攻击。

二、核心工具：PAM模块

RockyLinux使用PAM（Pluggable Authentication Modules，可插拔认证模块）来管理用户认证过程。密码策略主要通过 pam_pwquality 模块实现（旧版本中为 pam_cracklib）。

三、安装必要组件

首先确保系统已安装 libpwquality 包：

sudo dnf install libpwquality -y

四、配置密码复杂度策略

编辑 PAM 配置文件 /etc/pam.d/system-auth 或直接修改策略参数文件 /etc/security/pwquality.conf。推荐修改后者，因为它更直观且易于维护。

使用你喜欢的编辑器打开配置文件：

sudo vi /etc/security/pwquality.conf

在该文件中，你可以设置以下常用参数（取消注释并修改值）：

# 最小密码长度minlen = 10# 至少包含的小写字母数量lcredit = -1# 至少包含的大写字母数量ucredit = -1# 至少包含的数字数量dcredit = -1# 至少包含的特殊字符数量ocredit = -1# 允许与旧密码相同的字符数（设为0表示完全不能重复）difok = 3# 密码不能包含用户名usercheck = 1# 尝试失败次数限制retry = 3

说明：
- 负值（如 -1）表示“至少包含1个”；
- minlen = 10 表示密码总长度至少为10位；
- 这些设置共同构成了一个强健的密码复杂度设置方案。

五、配置密码历史与有效期

除了复杂度，还应限制密码重复使用和设置有效期。这通过 /etc/login.defs 和 /etc/pam.d/system-auth 实现。

1. 编辑 /etc/login.defs 设置全局密码有效期：

# 密码最长使用天数（建议90天）PASS_MAX_DAYS   90# 密码最短使用天数（防止频繁改回旧密码）PASS_MIN_DAYS   7# 密码过期前多少天开始警告用户PASS_WARN_AGE   14

2. 启用密码历史记录（防止重复使用旧密码）：

首先创建存储旧密码的文件：

sudo touch /etc/security/opasswdsudo chmod 600 /etc/security/opasswdsudo chown root:root /etc/security/opasswd

然后编辑 /etc/pam.d/system-auth，在 password 相关行添加或修改如下内容：

password    requisite     pam_pwquality.so try_first_pass local_users_only enforce_for_root retry=3password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

其中 remember=5 表示系统会记住最近5次使用的密码，禁止用户重复使用。

六、测试配置是否生效

创建一个测试用户或切换到普通用户，尝试修改密码：

passwd

如果输入不符合策略的密码（如太短、缺少大写字母等），系统会提示错误并要求重新输入。这说明你的PAM配置教程已成功应用！

七、注意事项

• 修改配置前建议备份原文件（如 cp /etc/security/pwquality.conf /etc/security/pwquality.conf.bak）。
• 对 root 用户也生效（除非特别排除），请谨慎操作，避免锁死 root 账户。
• 生产环境中建议先在测试机验证策略效果。

通过以上步骤，你已经成功为 RockyLinux 系统配置了一套完整的密码安全策略。这不仅提升了RockyLinux密码策略的强度，也为整个系统的安全防线打下了坚实基础。