Linux如何锁定和解锁用户账户

锁定Linux用户账户的常见方法包括：1. 使用passwd -l或usermod -L禁用密码登录，仅阻止密码认证，不影响SSH密钥登录；2. 使用usermod -s /sbin/nologin或/bin/false修改登录Shell，彻底禁止所有交互式登录；3. 使用chage -E 0设置账户立即过期，通过账户过期机制阻止登录。三者中，passwd -l和usermod -L作用相似，仅针对密码认证；而修改Shell方式更彻底，可阻止所有Shell访问；chage则基于时间策略，适用于临时或生命周期管理场景。实际中可根据需求单独或组合使用，以实现灵活的账户控制。

Linux中锁定和解锁用户账户，本质上就是控制其登录权限。锁定通常意味着阻止用户通过密码或特定方式登录系统，而解锁则是恢复这些权限。这在系统安全管理中是相当基础且关键的操作，无论是临时禁用还是永久停用某个账户，都有其特定的场景和手法。

解决方案

在Linux系统中，锁定和解锁用户账户主要通过修改其密码状态或登录Shell来实现。最直接且常用的方法是利用

passwd

usermod

要锁定一个用户账户，最常见的做法是使用

passwd -l

/etc/shadow

!

sudo passwd -l <username>

例如，要锁定名为

testuser

sudo passwd -l testuser

执行后，你可能会看到类似“Locking password for user testuser.”的提示。

另一种锁定方法是使用

usermod -L

passwd -l

/etc/shadow

!

sudo usermod -L <username>

例如：

sudo usermod -L testuser

解锁账户则使用相应的

-u

-u

sudo passwd -u <username>

或者

sudo usermod -U <username>

这些命令会移除密码哈希前的感叹号，使密码验证恢复正常。

锁定Linux用户账户的常见方法有哪些，它们有何不同？

在Linux系统里，锁定用户账户可不是只有一种“标准”做法，它更像是一个工具箱，里面有几把不同的扳手，每把都有其特定的用途和影响。我个人在实际操作中，会根据需要禁用的登录方式和安全级别来选择。

1. 禁用密码登录（

passwd -l

usermod -L

/etc/shadow

!

• 影响： 用户将无法通过密码进行身份验证。这意味着他们不能通过SSH（如果启用了密码认证）、本地控制台或任何需要密码的服务登录。
• 何时使用： 当你希望暂时禁用某个用户的密码登录能力，但又不想完全阻止其通过其他方式（如SSH密钥）登录时，这会是一个不错的选择。比如，一个员工暂时离职，但其SSH密钥可能还在使用，而你只想禁用其密码登录。

2. 更改Shell为

/sbin/nologin

/bin/false

/etc/passwd

/sbin/nologin

/bin/false

/sbin/nologin

• 命令：

  sudo usermod -s /sbin/nologin <username>

  登录后复制

  或者

  sudo usermod -s /bin/false <username>

  登录后复制
• 影响： 用户将无法通过任何交互式Shell登录，无论是密码认证还是SSH密钥认证。对于SSH密钥登录，他们可能会成功认证，但会立即断开连接，因为没有可用的Shell。
• 何时使用： 当你需要彻底阻止用户登录系统，无论他们使用何种认证方式时，这非常有效。例如，系统中的服务账户，它们通常不需要交互式登录，或者某个用户账户被永久停用。

3. 设置账户过期日期（

chage -E 0

chage

• 命令：

  sudo chage -E 0 <username>

  登录后复制
• 影响： 账户被标记为过期，用户将无法登录。
• 何时使用： 适用于那些有明确生命周期的账户，或者需要临时禁用但又不想修改密码状态的场景。

总结差异：

• passwd -l

  登录后复制
  /

  usermod -L

  登录后复制
  ：主要针对密码认证。用户可能仍能通过SSH密钥等非密码方式登录。

• usermod -s /sbin/nologin

  登录后复制
  ：彻底禁用所有交互式登录，无论认证方式。

• chage -E 0

  登录后复制
  ：通过账户过期机制禁用登录。

在我看来，最彻底的锁定通常是结合使用

usermod -L

usermod -s /sbin/nologin

如知AI笔记

如知笔记——支持markdown的在线笔记，支持ai智能写作、AI搜索，支持DeepseekR1满血大模型

27

查看详情

解锁Linux用户账户的具体操作步骤与注意事项

解锁Linux用户账户，听起来只是把锁上的门打开，但实际上，我们得回溯一下之前可能采取的锁定措施，确保每一环都恢复正常。不然，你可能会遇到“我明明解锁了，为什么用户还是登不进去？”的尴尬局面。

1. 解锁密码状态 如果之前使用了

passwd -l

usermod -L

• 命令：

  sudo passwd -u <username>

  登录后复制

  或者

  sudo usermod -U <username>

  登录后复制
• 注意事项： 这个操作只会移除

  /etc/shadow

  登录后复制
  文件中密码哈希前的

  !

  登录后复制
  。如果用户忘记了密码，或者密码已经过期，即使解锁了密码状态，他们仍然无法登录。在这种情况下，你可能还需要重置他们的密码：

  sudo passwd <username>

  登录后复制

  然后输入两次新密码。

2. 恢复默认Shell 如果之前为了彻底禁用登录，将用户的Shell修改为

/sbin/nologin

/bin/false

/bin/bash

/bin/zsh

• 命令：

  sudo usermod -s /bin/bash <username>

  登录后复制

  （将

  /bin/bash

  登录后复制
  替换为用户原有的或你希望提供的合法Shell）

• 注意事项： 忘记恢复Shell是用户解锁后依然无法登录的常见原因之一。务必检查

  /etc/passwd

  登录后复制
  文件中用户的Shell设置。

3. 检查并重置账户过期日期 如果账户是通过

chage -E 0

• 命令：

  sudo chage -E -1 <username> # 移除过期日期

  登录后复制

  或者

  sudo chage -E YYYY-MM-DD <username> # 设置一个新的未来过期日期

  登录后复制
• 注意事项：

  chage -E -1

  登录后复制
  会将账户设置为永不过期。

4. 综合考量与验证 解锁操作完成后，我通常会建议立即进行验证。让用户尝试登录，或者作为管理员，使用

su - <username>

• 安全考量： 在解锁一个账户之前，最好弄清楚为什么它会被锁定。如果是安全事件导致，解锁前需要确保安全隐患已经排除。解锁后，也应该通知用户，并建议他们更改密码，尤其是在密码被重置过的情况下。
• 审计： 所有的锁定和解锁操作都应该被记录下来，以便日后审计。

解锁并非简单地执行一个命令，它需要你对账户之前的状态有一个清晰的了解，并采取相应的恢复措施。

如何检查Linux用户账户的锁定状态及常见问题排查

在Linux系统管理中，我们不仅要会操作，更要会“看”，即如何确认一个账户当前处于何种状态，以及当用户报告无法登录时，我们该如何快速排查问题。这就像医生看病，不能只知道开药，还得会诊断。

1. 检查密码锁定状态（

/etc/shadow

passwd -S

• 命令：

  sudo passwd -S <username>

  登录后复制
• 输出示例：

  testuser L 2023-01-01 0 99999 7 -1

  登录后复制

  这里的

  L

  登录后复制
  表示账户已锁定（Locked）。如果是

  PS

  登录后复制
  ，表示有密码且可用（Password Set）。

  NP

  登录后复制
  表示没有密码（No Password）。

• 手动检查： 你也可以直接查看

  /etc/shadow

  登录后复制
  文件。

  sudo grep '^<username>:' /etc/shadow

  登录后复制

  如果密码哈希前有

  !

  登录后复制
  ，例如

  testuser:!$6$...

  登录后复制
  ，则表示密码已锁定。

2. 检查Shell设置（

/etc/passwd

• 命令：

  grep '^<username>:' /etc/passwd

  登录后复制
• 输出示例：

  testuser:x:1001:1001::/home/testuser:/sbin/nologin

  登录后复制

  如果最后一项是

  /sbin/nologin

  登录后复制
  或

  /bin/false

  登录后复制
  ，那么用户将无法登录。合法的Shell通常是

  /bin/bash

  登录后复制
  、

  /bin/zsh

  登录后复制
  等。

3. 检查账户过期日期（

chage -l

• 命令：

  sudo chage -l <username>

  登录后复制
• 输出示例：

  Last password change                                : Jan 01, 2023
  Password expires                                    : never
  Password inactive                                   : never
  Account expires                                     : Jan 01, 2023  # 这一行是关键
  Minimum number of days between password change      : 0
  Maximum number of days between password change      : 99999
  Number of days of warning before password expires   : 7

  登录后复制

  如果

  Account expires

  登录后复制
  显示的是一个过去的日期，或者

  Jan 01, 2023

  登录后复制
  这种，那么账户就是过期的。

常见问题排查：

• 用户报告“密码错误”：
  • 首先检查

    passwd -S

    登录后复制
    是否为

    L

    登录后复制
    。如果是，用

    passwd -u

    登录后复制
    解锁。
  • 如果不是

    L

    登录后复制
    ，可能是用户真的记错了密码，或者密码已过期（

    Password expires

    登录后复制
    显示过去的日期）。考虑重置密码。
• 用户报告“登录成功但立即断开”或“没有Shell”：
  • 检查

    /etc/passwd

    登录后复制
    中用户的Shell是否为

    /sbin/nologin

    登录后复制
    或

    /bin/false

    登录后复制
    。如果是，用

    usermod -s /bin/bash

    登录后复制
    等命令恢复。
  • 检查用户主目录是否存在且权限正确。
• 用户报告“账户过期”：
  • 检查

    chage -l

    登录后复制
    的

    Account expires

    登录后复制
    字段。如果是，用

    chage -E -1

    登录后复制
    或设置未来日期。
• 用户通过SSH密钥登录失败，但密码认证也禁用：
  • 这通常意味着SSH服务配置了不允许密码认证，而用户的SSH密钥可能没有正确配置，或者

    authorized_keys

    登录后复制
    文件权限不正确。这不是账户锁定问题，而是SSH配置或密钥问题。

在排查问题时，我通常会遵循一个优先级：先检查密码状态，再检查Shell，最后是账户过期。这样可以系统性地缩小问题范围，提高排查效率。记住，任何系统操作都可能引入新的问题，所以验证和回溯是不可或缺的。

以上就是Linux如何锁定和解锁用户账户的详细内容，更多请关注php中文网其它相关文章！