如何设置Linux用户密码复杂度 pam_pwquality模块配置详解

linux系统中配置用户密码复杂度主要依赖pam模块的pam_pwquality。1. 核心配置文件为/etc/security/pwquality.conf或在/etc/pam.d/common-password中指定参数；2. 关键参数包括minlen（最小长度）、dcredit（数字要求）、ucredit（大写字母）、lcredit（小写字母）、ocredit（特殊字符）、difok（新旧密码差异）、maxrepeat（字符重复限制）、maxclassrepeat（字符类别重复限制）、gecoscheck（检查用户信息）、badwords（禁用词列表）；3. 验证方法包括尝试设置弱密码、使用pwscore工具评分、查看认证日志、利用pamtester模拟测试；4. pam_pwquality相比旧版pam_cracklib功能更强大，支持更精细策略，推荐用于现代系统安全加固。

Linux系统里，想让用户密码够强，主要靠PAM模块里的

pam_pwquality

在Linux系统里，配置用户密码复杂度，核心就是搞定

pam_pwquality

/etc/security/pwquality.conf

/etc/pam.d/common-password

要让密码规则生效，你通常需要在

/etc/pam.d/common-password

password    requisite     pam_pwquality.so retry=3

这行告诉系统，在设置密码时必须通过

pam_pwquality

retry=3

然后，具体的密码规则就写在

/etc/security/pwquality.conf

• minlen = 12

  登录后复制
  ：密码最小长度。我通常会设置到12或更高，毕竟现在算力越来越强了。

• dcredit = -1

  登录后复制
  ：要求至少包含一个数字。负数表示必须包含，正数表示奖励分数。

• ucredit = -1

  登录后复制
  ：要求至少包含一个大写字母。

• lcredit = -1

  登录后复制
  ：要求至少包含一个小写字母。

• ocredit = -1

  登录后复制
  ：要求至少包含一个特殊字符（例如

  !@#$%^&*

  登录后复制
  ）。

• difok = 7

  登录后复制
  ：新密码与旧密码至少要有7个字符不同。这个参数挺重要的，防止用户只是改动一两个字符。

• maxrepeat = 3

  登录后复制
  ：同一个字符不能连续出现超过3次。

• maxclassrepeat = 4

  登录后复制
  ：同一类字符（数字、大写、小写、特殊字符）不能连续出现超过4次。

• gecoscheck

  登录后复制
  ：检查密码是否包含用户的GECOS信息（比如全名、电话）。这能防止很多人用自己名字做密码。

• badwords = /etc/security/pwquality.badwords

  登录后复制
  ：可以指定一个文件，里面列出不允许出现在密码里的常用词或公司名。

配置好这些参数后，保存文件，下次用户修改密码时，这些规则就会生效了。如果你的系统用的是

authselect

authconfig

Linux密码复杂性配置的安全性考量

密码复杂性，说白了，就是给那些想不劳而获的人增加门槛。这不仅仅是技术配置，更是企业合规和个人信息安全的底线。在我看来，配置密码复杂度，最直接的目的就是对抗各种自动化攻击，比如暴力破解和字典攻击。

你想啊，如果一个密码是“password123”，用不了几秒钟就能被破解。但如果它包含大小写字母、数字和特殊符号，长度还够长，比如“MyS3cr3tP@ssw0rd!_2024”，那破解难度就指数级上升了。这就像给你的房子加了好几道锁，小偷看到这阵势，可能就直接放弃了。

再者，很多行业的合规性要求（比如PCI DSS、HIPAA等）都对密码强度有明确规定。达不到这些要求，轻则罚款，重则业务停摆。所以，这不光是为了安全，也是为了“活下去”。

我常常看到一些系统管理员，为了方便，把密码策略设置得非常宽松。结果呢？一旦某个用户密码泄露，整个系统都可能面临风险。一个强大的密码策略，能有效降低这种“一点突破，全盘皆输”的风险。它不是万能的，但绝对是第一道也是最关键的防线。

如何调试和验证pam_pwquality配置是否生效？

有时候改了半天配置文件，心里总会犯嘀咕：这玩意儿到底生效了没？验证

pam_pwquality

文心大模型

百度飞桨-文心大模型 ERNIE 3.0 文本理解与创作

56

查看详情

首先，最直接的办法是尝试设置一个明显不符合规则的密码。比如，你把

minlen

test

其次，你可以使用

pwscore

pwquality.conf

pwscore
(输入密码)

它会告诉你这个密码的得分，以及为什么得分低（比如缺少大写字母、太短等）。这对于调试单个参数非常有用。

再来，就是看日志。当用户尝试修改密码时，PAM模块的活动都会记录在系统的认证日志里，通常是

/var/log/secure

/var/log/auth.log

tail -f

pam_pwquality

最后，如果你想模拟更复杂的PAM流程，

pamtester

调试过程中，最常见的坑就是配置文件路径不对、PAM模块加载顺序问题，或者配置参数拼写错误。所以，每改动一点，最好都用上面这些方法验证一下。

pam_pwquality与旧版pam_cracklib的区别和选择

说实话，现在还在用

pam_cracklib

pam_pwquality

pam_cracklib

pam_cracklib

pam_pwquality

而

pam_pwquality

maxrepeat

maxclassrepeat

badwords

gecoscheck

pam_cracklib

从维护和未来的发展来看，

pam_pwquality

pam_pwquality

pam_cracklib

pam_pwquality

以上就是如何设置Linux用户密码复杂度 pam_pwquality模块配置详解的详细内容，更多请关注php中文网其它相关文章！