linux修改密碼命令的方法是:
創(chuàng)新互聯(lián)自成立以來,一直致力于為企業(yè)提供從網(wǎng)站策劃、網(wǎng)站設(shè)計、網(wǎng)站建設(shè)、成都網(wǎng)站制作、電子商務(wù)、網(wǎng)站推廣、網(wǎng)站優(yōu)化到為企業(yè)提供個性化軟件開發(fā)等基于互聯(lián)網(wǎng)的全面整合營銷服務(wù)。公司擁有豐富的網(wǎng)站建設(shè)和互聯(lián)網(wǎng)應(yīng)用系統(tǒng)開發(fā)管理經(jīng)驗(yàn)、成熟的應(yīng)用系統(tǒng)解決方案、優(yōu)秀的網(wǎng)站開發(fā)工程師團(tuán)隊及專業(yè)的網(wǎng)站設(shè)計師團(tuán)隊。
1、普通用戶一般使用該命令都是修改登錄密碼,使用方法也很簡單,只有在提示符下輸入 passwd ,按照提示輸入原密碼,然后再兩次輸入新密碼就可以了,但是要注意密碼的復(fù)雜度,否則系統(tǒng)不會接受。
2、passwd命令的使用方法(root用戶)。root用戶通??梢栽诓恍枰烙脩粼艽a的情況下修改所有用戶的密碼,只需要輸入密碼passwd用戶名即可,按照提示兩次輸入新密碼就能夠設(shè)置完成。如果密碼在設(shè)置過程中不符合復(fù)雜度,系統(tǒng)會提示,但不會阻止設(shè)置完成。
3、root用戶還可以鎖定用戶,只需要加上“-l選項”和用戶名即可。一旦用戶被鎖定,將無法登錄系統(tǒng),提示信息都會是密碼錯誤。
4、如果想恢復(fù)用戶的登錄,可以使用“-u”選項加用戶名即可。一旦解鎖,用戶就可以重新登錄系統(tǒng)。
pam_tally2模塊(方法一)
用于對系統(tǒng)進(jìn)行失敗的ssh登錄嘗試后鎖定用戶帳戶。此模塊保留已嘗試訪問的計數(shù)和過多的失敗嘗試。
配置
使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件來配置的登錄嘗試的訪問
注意:
auth要放到第二行,不然會導(dǎo)致用戶超過3次后也可登錄。
如果對root也適用在auth后添加 even_deny_root .
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600
pam_tally2命令
查看用戶登錄失敗的信息
解鎖用戶
pam_faillock 模塊(方法二)
在紅帽企業(yè)版 Linux 6 中, pam_faillock PAM 模塊允許系統(tǒng)管理員鎖定在指定次數(shù)內(nèi)登錄嘗試失敗的用戶賬戶。限制用戶登錄嘗試的次數(shù)主要是作為一個安全措施,旨在防止可能針對獲取用戶的賬戶密碼的暴力破解
通過 pam_faillock 模塊,將登錄嘗試失敗的數(shù)據(jù)儲存在 /var/run/faillock 目錄下每位用戶的獨(dú)立文件中
配置
添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的對應(yīng)區(qū)段:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3
account required pam_faillock.so
注意:
auth required pam_faillock.so preauth silent audit deny=3 必須在最前面。
適用于root在 pam_faillock 條目里添加 even_deny_root 選項
faillock命令
查看每個用戶的嘗試失敗次數(shù)
$ faillock
test:
When Type Source Valid
2017-06-20 14:29:05 RHOST 192.168.56.1 V
2017-06-20 14:29:14 RHOST 192.168.56.1 V
2017-06-20 14:29:17 RHOST 192.168.56.1 V
解鎖一個用戶的賬戶
鎖用戶的設(shè)定
/etc/pam.d/下包含各種認(rèn)證程序或服務(wù)的配置文件。編輯這些可限制認(rèn)證失敗次數(shù),當(dāng)失敗次數(shù)超過指定值時用戶會被鎖住。
在此,以run
level為3的時候,多次登錄登錄失敗即鎖用戶為例:
在/etc/pam.d/login文件中追加如下兩行:
auth
required
/lib/security/pam_tally.so
onerr=fail
no_magic_root
account
required
/lib/security/pam_tally.so
deny=3
no_magic_root
reset
deny=3
設(shè)置登錄失敗3次就將用戶鎖住,該值可任意設(shè)定。
如下為全文見設(shè)定例:
auth
required
pam_securetty.so
auth
required
pam_stack.so
service=system-auth
auth
required
pam_nologin.so
auth
required
pam_tally.so
onerr=fail
no_magic_root
account
required
pam_stack.so
service=system-auth
account
required
pam_tally.so
deny=3
no_magic_root
reset
password
required
pam_stack.so
service=system-auth
session
required
pam_stack.so
service=system-auth
session
optional
pam_console.so
這樣當(dāng)用戶在run
level=3的情況下登錄時,/var/log/faillog會自動生成,裏面記錄用戶登錄失敗次數(shù)等信息。
可用"faillog
-u
用戶名"命令來查看。
當(dāng)用戶登錄成功時,以前的登錄失敗信息會重置。
2)用戶的解鎖
用戶因多次登錄失敗而被鎖的情況下,可用faillog命令來解鎖。具體如下:
faillog
-u
用戶名
-r
此命令實(shí)行后,faillog里記錄的失敗信息即被重置,用戶又可用了。
關(guān)於faillog的其他命令。。參見man
failog。
二:手動鎖定用戶禁止使用
可以用usermod命令來鎖定用戶密碼,使密碼無效,該用戶名將不能使用。
如:
usermod
-L
用戶名
解鎖命令:usermod
-U
用戶名
......
要想強(qiáng)制用戶下次登錄更改密碼就使用chage
-d
username
強(qiáng)制把上次更改密碼的日期歸零.
定義用戶密碼變更天數(shù)在/etc/shadow
這個文件中定義
對新建的用戶在/etc/login.defs這個文件中定義
我們首先來創(chuàng)建一個linux用戶,(怎樣創(chuàng)建用戶查看經(jīng)驗(yàn)引用),這里就不說明怎樣添加用戶了,我這里已經(jīng)添加一個用戶xiaoming,就已xiaoming為例吧
1linux添加管理員用戶
請點(diǎn)擊輸入圖片描述
我們通過root用戶把xiaoming這個用戶給鎖定,通過這個命令passwd -l xiaoming
請點(diǎn)擊輸入圖片描述
查看已給xiaoming這個用戶的狀態(tài)是不是已經(jīng)鎖定了。
請點(diǎn)擊輸入圖片描述
我們來登陸一下這個用戶,就會提示系統(tǒng)拒絕了這個用戶的密碼,
請點(diǎn)擊輸入圖片描述
我們通過passwd -u xiaoming 來解鎖這個用戶,
請點(diǎn)擊輸入圖片描述
解鎖用戶以后就再次進(jìn)行登陸就可以登陸進(jìn)去了,我們來查詢一下這個用戶的狀態(tài),
請點(diǎn)擊輸入圖片描述
我們來連接測試一個這個用戶是否能登陸進(jìn)去,如下圖所示就能登陸進(jìn)去了。
請點(diǎn)擊輸入圖片描述
首先,用root用戶登陸Linux系統(tǒng)或者使用su、sudo等命令提升到root權(quán)限。\x0d\x0a\x0d\x0a其次,修改帳戶密碼,只需要使用passwd命令即可,該命令詳細(xì)介紹如下:\x0d\x0a passwd 選項 用戶名\x0d\x0a可使用的選項:\x0d\x0a-l 鎖定口令,即禁用賬號。\x0d\x0a-u 口令解鎖。\x0d\x0a-d 使賬號無口令。\x0d\x0a-f 強(qiáng)迫用戶下次登錄時修改口令。\x0d\x0a如果默認(rèn)用戶名,則修改當(dāng)前用戶的口令。\x0d\x0a例如,假設(shè)當(dāng)前用戶是sam,則下面的命令修改該用戶自己的口令:\x0d\x0a$ passwd\x0d\x0aOld password:******\x0d\x0aNew password:*******\x0d\x0aRe-enter new password:*******\x0d\x0a如果是超級用戶,可以用下列形式指定任何用戶的口令:\x0d\x0a# passwd sam\x0d\x0aNew password:*******\x0d\x0aRe-enter new password:*******\x0d\x0a普通用戶修改自己的口令時,passwd命令會先詢問原口令,驗(yàn)證后再要求用戶輸入兩遍新口令,如果兩次輸入的口令一致,則將這個口令指定給用戶;而超級用戶為用戶指定口令時,就不需要知道原口令。\x0d\x0a為了系統(tǒng)安全起見,用戶應(yīng)該選擇比較復(fù)雜的口令,例如最好使用8位長的口令,口令中包含有大寫、小寫字母和數(shù)字,并且應(yīng)該與姓名、生日等不相同。\x0d\x0a為用戶指定空口令時,執(zhí)行下列形式的命令:\x0d\x0a# passwd -d sam\x0d\x0a此命令將用戶sam的口令刪除,這樣用戶sam下一次登錄時,系統(tǒng)就不再詢問口令。\x0d\x0apasswd命令還可以用-l(lock)選項鎖定某一用戶,使其不能登錄,例如:\x0d\x0a# passwd -l sam
passwd 用戶名:添加 / 修改用戶密碼。(所有人都可以通過該命令修改自己的密碼,root 可以修改所有人密碼)。
-l:鎖住該賬號,在/etc/shadow 中存放密碼的位置加上 !號。(僅 root 用戶可以設(shè)置)。
-u:解鎖。(僅 root 用戶可以設(shè)置)。
-S:顯示賬號的密碼參數(shù)。(僅 root 用戶可以設(shè)置)
-d:清空密碼(僅 root 用戶可以設(shè)置)。
-n:輸入天數(shù),設(shè)置多久可以不修改密碼。(僅 root 用戶可以設(shè)置)
-x:輸入天數(shù),設(shè)置多久內(nèi)必須修改密碼。(僅 root 用戶可以設(shè)置)
-w:輸入天數(shù),設(shè)置密碼過期前警告天數(shù)。(僅 root 用戶可以設(shè)置)
-i:輸入天數(shù),設(shè)置密碼失效天數(shù)。(僅 root 用戶可以設(shè)置)
1、passwd 用戶名:添加 / 修改用戶密碼。
root 用戶為 user9 用戶創(chuàng)建初始密碼:123。此時會有 BAD PASSWORD 密碼過于簡單的提示。由于 root 的權(quán)限最大,它可以無視密碼設(shè)置規(guī)則。
Xshell 新建一個賬戶 user9,登錄賬戶 user9,密碼123進(jìn)入系統(tǒng)。
user9 用戶登錄系統(tǒng)后,修改密碼。
普通用戶為自己修改密碼,只需登錄系統(tǒng)后輸入 passwd 命令就可以進(jìn)行密碼修改。首先,輸入原密碼。然后,輸入一次新密碼,再重新輸入一次新密碼。系統(tǒng)檢驗(yàn)兩次新密碼一致就會修改成功。此處新密碼:torres999。小寫字母+數(shù)字的 9 位密碼。
需要注意的是,普通用戶修改密碼不能像 root ,root可以隨意設(shè)置密碼,就算密碼過于簡單也可以設(shè)置成功。普通用戶設(shè)置密碼,要遵循密碼規(guī)范。但是普通用戶的密碼往往收到一定的規(guī)則限制,導(dǎo)致修改密碼時經(jīng)常會遇到以下報錯:
無效的密碼:密碼字典檢查失敗 - 這太簡單化了。純數(shù)字輸入密碼,例如:01234567、12345678、87654321、76543210。往往會給出過于簡單的提示。
無效的密碼: 密碼少于 8 個字符。輸入的密碼位數(shù)不足8位,提示不符合密碼長度的要求。
無效的密碼: 密碼包含用戶名在某些地方。如:用戶名是 user9,輸入的密碼包含 user 字符,會被提示密碼含有用戶名的提示。?
無效的密碼: 與舊密碼過于相似。如:曾經(jīng)使用 apple999 的密碼。重新設(shè)置密碼輸入,apple888、applehello、appleteam,含有apple單詞的新密碼會被檢測與舊密碼過于相似。
所以,普通用戶修改密碼要遵從密碼規(guī)則。建議通過大小寫、特殊字符 和 數(shù)字組成大于8位的密碼組合。
-l:鎖住該賬號,在/etc/shadow 中存放密碼的位置加上 !號。
-u:解鎖。
例:
1、首先,用 root 用戶為 user9 普通用戶設(shè)置 123 的密碼。?
2、Xshell 新建一個連接 user9 ,輸入用戶名 user9 和密碼 123 可以登錄。
3、root 用 passwd -l? 鎖住了 user9 。
查看 /etc/shadow 文件,可以看到 user9 用戶密碼欄前面加上了 !感嘆號,意思就是上鎖的意思。
4、重新再登錄 user9 用戶,在輸入密碼 123 后,系統(tǒng)提示 ‘服務(wù)器拒絕了密碼’,不能登錄。
5、root 用戶用 passwd -u? 解鎖 user9 。
6、解鎖后的 user9 能夠登錄系統(tǒng)。
查看 /etc/shadow 文件,可以看到 user9 用戶密碼欄前面沒有了 !感嘆號,意思就是密碼狀態(tài)正常,可以登錄。
tips:鎖住用戶 和 解鎖用戶,只有 root 有權(quán)限操作,普通用戶沒有權(quán)限做此操作。
-S:顯示賬號的密碼參數(shù)。
例:
1、紅色 user9:用戶名。
2、黃色 PS:密碼設(shè)置。(LK = 密碼鎖定,NP = 無密碼)。
3、藍(lán)色 2021-05-17:上次修改密碼的時間。
4、綠色 0:密碼修改間隔的時間(0 隨時修改)。
5、白色 99999:密碼有效期。
6、紅色 7:臨近密碼過期前7天開始向用戶發(fā)出警告。
7、黃色 -1:密碼失效設(shè)置(-1 不失效)。
8、藍(lán)色?Password set, SHA512 crypt:已使用密碼。
passwd -l 鎖定密碼的用戶 passwd -S 可以通過兩個參數(shù)查看到情況 。
1、黃色 LK:密碼鎖定。
2、藍(lán)色?Password locked:提示用戶密碼已被鎖。
passwd -d 清空密碼。模仿用戶沒有密碼的情況。通過 passwd -S 兩個參數(shù)查看到情況 。(清空密碼后,需要 root 為普通用戶重設(shè)密碼才能正式登陸系統(tǒng)。)
1、黃色 NP:無密碼,密碼為空。
2、藍(lán)色?Empty password:提示需要設(shè)置密碼。
-n:輸入天數(shù),設(shè)置多久不能修改密碼。
例:
1、紅色下劃線:首先 passwd -S 查看 user9 用戶的密碼信息。此時可修改密碼參數(shù)是 0 ,即隨時可以修改密碼。
2、黃色下劃線:passwd -n 10 設(shè)置 user9 用戶10天內(nèi)不能修改密碼。設(shè)置完成后 passwd -S 可修改密碼參數(shù)改為了 10。
3、藍(lán)色下劃線:登錄 user9 賬戶。user9 修改 passwd 修改密碼。系統(tǒng)提示 You must wait longer to change your password(你必須等待更長時間才能更改密碼)。此時,user9 如需立即修改密碼,必須通過 root 重新設(shè)置可修改密碼參數(shù)為 0 。
-x:輸入天數(shù),設(shè)置多久內(nèi)必須修改密碼。
例:
1、紅色下劃線:首先 passwd -S 查看 user9 用戶的密碼信息。此時密碼可用最大參數(shù)是 99999。
2、黃色下劃線:passwd -x 10 設(shè)置 user9 密碼可用最大參數(shù)為 10。設(shè)置完成后 passwd -S?密碼可用最大參數(shù)改為了 10。即 10 天后強(qiáng)制修改密碼。
-w:輸入天數(shù),設(shè)置密碼過期前警告天數(shù)。
例:
1、紅色下劃線:首先 passwd -S 查看 user9 用戶的密碼信息。此時密碼過期前警告天數(shù)是 7。
2、黃色下劃線:passwd -w 2 設(shè)置 user9 密碼過期前警告天數(shù)為 2。設(shè)置完成后 passwd -S?密碼過期前警告天數(shù)改為了 2。即 密碼過期前 2 天系統(tǒng)會發(fā)出警告,提示用戶需要修改密碼。
-i:輸入天數(shù),設(shè)置密碼失效天數(shù)。如果一個密碼已過期至失效的天數(shù),那么此帳號將不可用。
例:
1、紅色下劃線:首先 passwd -S 查看 user9 用戶的密碼信息。此時密碼失效天數(shù)是?-1(密碼不失效)。
2、黃色下劃線:passwd -i 2 設(shè)置 user9?密碼失效天數(shù)為 2。設(shè)置完成后 passwd -S?密碼失效天數(shù)改為了 2。即 密碼過期后 2 天此帳號將不可用。