通過編輯/etc/login.defs,可以指定幾個參數來設置密碼有效性的默認設置:
PASS_MAX_DAYS 99999
傳遞_分鐘_天0
通行證_警告_年齡7
當設置密碼老化的天數為99999時,實際上相當於關閉密碼老化。更合理的設置通常是60天——每2個月強制更換壹次密碼。
PASS_MIN_DAYS參數設置密碼修改後下次允許更改密碼之前的最小天數。PASS_WARN_AGE的設置表示密碼到期前多少天,會通知用戶修改密碼(壹般在剛登錄系統時會收到警告通知)。
您還將編輯/etc/default/useradd文件,查找兩個關鍵字:INACTIVE和EXPIRE:
INACTIVE=14EXPIRE=表示密碼過期多長時間後,如果密碼沒有被更改,帳戶將被更改為無效狀態。在本例中,時間是14天。EXPIRE的設置用於為所有新用戶設置壹個明確的密碼過期時間(具體格式為“年-月-日”)。
顯然,更改這些設置後,只有新建立的用戶會受到影響。要修改現有的用戶設置,您需要使用更改工具。
# chage -M 60喬
該命令會將用戶joe的PASS_MAX_DAYS設置為60,並修改相應的影子文件。
您可以使用選項chage -l列出當前帳戶帳齡,而選項-m用於設置PASS_MIN_DAYS,選項-W用於設置PASS_WARN_AGE等。更改工具允許您修改特定帳戶的所有密碼老化狀態。
請註意,更改僅適用於本地系統中的帳戶。如果使用LDAP之類的認證系統,該工具將無效。如果妳使用LDAP作為身份驗證,並且打算使用chage,即使妳只是嘗試列出用戶密碼的老化信息,妳也會發現chage根本不起作用。
制定策略,定義密碼必須更改的頻率,然後實施策略,這是壹個很好的做法。解雇員工後,密碼老化策略將確保員工在被解雇三個月後無法發現其密碼仍然可用。即使系統管理員忘記刪除他的帳戶,該帳戶也會由於密碼老化策略而被自動鎖定。當然,來源天空
這不能成為不及時刪除員工賬戶的借口,但這種策略確實提供了額外的壹層安全保護,尤其是在過去經常忽視及時清理賬戶的情況下。