14.4.8 Linux 密码管理详解：从基础到高级实践

目录#

Linux 密码存储机制
核心密码管理工具
密码策略配置
高级密码管理技术
最佳实践与安全建议
常见问题与故障排除
参考资料

1. Linux 密码存储机制#

Linux 系统的密码存储经历了从明文到哈希的演进，目前采用“影子文件”机制保障安全性。

1.1 `/etc/passwd` 与 `/etc/shadow` 文件#

/etc/passwd：早期系统直接在此文件中存储密码（明文或弱哈希），但因该文件对所有用户可读，存在严重安全隐患。现代系统中，密码字段已被 x 替代，表示密码存储在 /etc/shadow 中。
示例（/etc/passwd 条目）：
```
root:x:0:0:root:/root:/bin/bash
```

/etc/shadow：仅 root 可读写，存储用户的哈希密码及密码策略信息。每条目格式如下：

用户名:哈希密码:最后修改时间:最小修改间隔:最大有效期:警告天数:不活动期:过期时间:保留字段

各字段说明：

字段序号	含义	示例值
1	用户名	`alice`
2	哈希密码（`!` 表示锁定）	`$6$salt$hashedpass`
3	最后修改时间（距1970-01-01的天数）	`19500`
4	最小修改间隔（天）	`7`（7天内不可改）
5	最大有效期（天）	`90`（90天后过期）
6	警告天数	`14`（过期前14天警告）
7	不活动期（天）	`30`（过期后30天锁定）
8	过期时间（Unix时间戳）	`1717267200`（2025-06-01）
9	保留字段	空

1.2 哈希密码格式#

/etc/shadow 中的哈希密码以 $id$salt$hash 格式存储，其中 id 表示哈希算法：

$1$ ：MD5（不安全，易被破解）
$5$ ：SHA-256
$6$ ：SHA-512（现代系统默认，推荐）
$y$ ：yescrypt（新一代算法，更抗暴力破解）

2. 核心密码管理工具#

Linux 提供了多种命令行工具用于管理用户密码，涵盖修改、锁定、过期控制等场景。

2.1 `passwd`：修改用户密码#

普通用户：仅可修改自身密码（需验证当前密码）：
```
passwd  # 按提示输入当前密码及新密码
```
root 用户：可修改任意用户密码（无需当前密码）：
```
passwd alice  # 修改 alice 的密码
```
常用选项：
- -l：锁定用户（在哈希前添加 !）：passwd -l alice
- -u：解锁用户：passwd -u alice
- -d：删除密码（用户无需密码即可登录，慎用）：passwd -d alice
- -e：强制用户下次登录修改密码：passwd -e alice

2.2 `chpasswd`：批量更新密码#

适合批量修改多个用户密码，需 root 权限。格式：用户名:密码 一行一个用户，通过管道输入：

echo -e "alice:NewPass123!\nbob:BobPass456?" | chpasswd

⚠️ 注意：密码需符合系统策略，否则会失败（建议配合 --crypt 选项传入哈希密码，避免明文暴露）。

2.3 `chage`：密码 aging 管理#

用于查看或修改密码有效期、过期时间等策略。

查看用户密码 aging 信息：

chage -l alice
# 输出示例：
# 最近一次密码修改时间：2023-01-15
# 密码过期时间：2023-04-15（90天后）
# 密码失效时间：2023-05-15（过期后30天锁定）

设置密码过期时间：

chage -E 2023-12-31 alice  # 2023-12-31 后账号过期
chage -M 60 alice          # 密码最大有效期 60 天
chage -I 15 alice          # 密码过期后 15 天锁定账号

2.4 `usermod`：辅助密码管理#

通过 -e（过期时间）和 -f（不活动期）选项控制账号状态：

usermod -e 2023-06-01 -f 7 bob  # bob 账号 2023-06-01 过期，过期后7天锁定

3. 密码策略配置#

通过 /etc/login.defs 和 PAM 模块实现密码策略的细粒度控制。

3.1 `/etc/login.defs`：全局默认策略#

控制系统级密码策略默认值，对新增用户生效（已有用户需用 chage 修改）。关键配置项：

PASS_MAX_DAYS   90   # 密码最大有效期（天）
PASS_MIN_DAYS   7    # 密码最小修改间隔（天）
PASS_WARN_AGE   14   # 过期前警告天数
UID_MIN         1000 # 最小普通用户 UID

3.2 PAM 模块：密码复杂度控制#

PAM（Pluggable Authentication Modules）通过 /etc/pam.d/ 配置文件实现认证策略，常用模块：

pam_pwquality（替代 pam_cracklib）：控制密码复杂度（长度、字符类型等）。

配置步骤：

编辑 /etc/pam.d/common-password（Debian/Ubuntu）或 /etc/pam.d/system-auth（RHEL/CentOS），添加：
```
password requisite pam_pwquality.so retry=3 minlen=10 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
```
参数说明：
- retry=3：最多重试3次
- minlen=10：最小长度10
- ucredit=-1：至少1个大写字母（-1 表示“至少1个”，+1 表示“最多1个”）
- lcredit=-1：至少1个小写字母
- dcredit=-1：至少1个数字
- ocredit=-1：至少1个特殊字符

测试策略：尝试设置弱密码，系统会拒绝并提示原因：

passwd alice
# 输出：BAD PASSWORD: The password is shorter than 10 characters

4. 高级密码管理技术#

4.1 哈希算法升级#

现状：SHA-512（ $6$ ）是当前主流，yescrypt（ $y$ ）是未来趋势（如 Debian 12 默认）。
修改默认哈希算法：
- RHEL/CentOS：authconfig --passalgo=sha512 --update
- Debian/Ubuntu：编辑 /etc/pam.d/common-password，添加 pam_unix.so sha512

4.2 密码强度增强：动态加盐与迭代次数#

哈希算法通过“盐值（salt）”和“迭代次数（rounds）”抵抗暴力破解。例如，SHA-512 默认迭代 5000 次，可通过 PAM 调整：

# 在 /etc/pam.d/common-password 中添加 rounds=10000
password [success=1 default=ignore] pam_unix.so sha512 rounds=10000

4.3 账号锁定与恢复#

自动锁定：通过 pam_tally2 或 pam_faillock 限制失败登录次数（防暴力破解）。
示例（/etc/pam.d/login 添加）：
```
auth required pam_faillock.so deny=5 unlock_time=300  # 5次失败后锁定5分钟
```

手动解锁：

pam_faillock --user alice --reset  # 重置 alice 的失败登录计数

5. 最佳实践#

5.1 密码策略核心原则#

复杂度：至少12位，包含大小写、数字、特殊字符，推荐使用“ passphrase（长句密码）”（如 CorrectHorseBatteryStaple）。
时效性：90天内强制更换，避免长期使用同一密码。
唯一性：禁止跨平台复用密码（配合密码管理器如 KeePass）。

5.2 运维管理建议#

最小权限：禁用 root 密码登录 SSH，改用密钥认证（PermitRootLogin no in /etc/ssh/sshd_config）。
审计监控：定期检查 /etc/shadow 变更（如通过 auditd 监控文件修改）。
工具替代：优先使用 sudo 而非直接登录 root，减少密码暴露风险。

6. 常见问题与故障排除#

6.1 忘记 root 密码#

重启系统，在 GRUB 菜单按 e 编辑启动项，在 linux 行末尾添加 rd.break，按 Ctrl+X 启动。

挂载根分区为可写：

mount -o remount,rw /sysroot
chroot /sysroot

修改 root 密码：

passwd root  # 输入新密码
touch /.autorelabel  # SELinux 系统需更新标签
exit && reboot

6.2 密码过期导致无法登录#

用户登录时提示“密码已过期”，但无法修改？

方案：root 执行 chage -d 0 alice，强制 alice 下次登录修改密码。

7. 参考资料#

通过本文，您已掌握 Linux 密码管理的全流程，从基础工具到高级策略。记住：安全是持续过程，定期审计和更新策略才能有效抵御威胁。

目录#