如何強制Linux使用者在第一次登入時更改初始密碼？

2020-06-16 17:51:34

在多使用者Linux環境下，建立使用某個隨機預設密碼的使用者帳戶是標準做法。之後在成功登入後，新使用者可以將預設密碼更改成自己的密碼。出於安全方面的原因，常常建議“迫使”使用者在第一次登入後更改預設密碼，以確保最初的一次性密碼不再使用。

下面介紹如何迫使使用者在下一次登入時更改其密碼。

Linux下的每個使用者帳戶都與和密碼相關的各個設定和資訊關聯起來。比如說，它記得上一次密碼更改的日期、密碼更改間隔的最少/最多天數以及何時讓當前密碼到期失效，等等。

一種名為chage的命令列工具可以存取和調整與密碼到期失效有關的設定。你可以使用該工具，迫使任何使用者在下一次登入時更改密碼。

想檢視某一個使用者(比如alice)的密碼到期失效資訊，執行下面這個命令。請注意：只有在你檢查你自己之外的其他任何使用者的密碼有效期資訊時，才需要根使用者許可權。

$ sudo chage -l alice

迫使使用者更改密碼

如果你想迫使使用者更改其密碼，請使用下面這個命令。

$ sudo chage -d0 <user-name>

最初，“-d <N>”選項應該被設成密碼的“有效期”(自密碼上一次更改時間1970年1月1日以來的天數)。所以，“-d0”表明該密碼是在1970年1月1日更改的，這實際上讓當前密碼到期失效，從而讓密碼在下一次登入時被更改。

讓當前密碼到期失效的另一個辦法是通過passwd命令。

$ sudo passwd -e <user-name>

上述命令具有與“chage -d0”同樣的功效，讓使用者的當前密碼立即到期失效。

現在，再次檢查使用者的密碼資訊，你會看到：

當你再次登入時，系統會要求你更改密碼。你在更改密碼之前需要多次確認當前密碼。

想設定更全面的密碼政策(比如密碼複雜性和防止重複使用)，你可以使用PAM。參閱這篇文章，即可了解更多詳細內容。

原文標題：How to force password change at the next login on Linux，作者：Dan Nanni