1. 项目概述为什么passwd命令远不够用如果你管理过几台Linux服务器尤其是那些暴露在公网上的你大概率遇到过这样的场景新来的同事或者用户随手设置了一个“123456”或者“password”作为密码然后你心里一紧赶紧跑过去让他改掉。或者你发现某个服务账户的密码已经用了好几年从来没换过。这些看似不起眼的小事在安全领域都是实实在在的风险点。很多人包括一些有经验的运维在设置密码时第一反应就是打开终端输入passwd命令然后敲入两遍新密码完事。这确实能改密码但它就像一把没有锁芯的锁——只能关门却无法定义什么样的钥匙密码是合格的。passwd命令本身只是一个修改密码的接口它背后真正的“裁判”是PAM。PAM全称 Pluggable Authentication Modules即可插拔认证模块。它是Linux系统身份验证的基石像一个高度可定制的安检系统。当你输入密码时passwd只是把密码交给了PAMPAM则会调用一系列预先配置好的“安检规则”模块来检查这个密码是否符合要求比如长度够不够、字符种类多不多、是不是在常见弱密码字典里等等。如果我们不主动配置这些规则PAM就会使用默认的、非常宽松的策略这也就是为什么只用passwd无法实现强密码策略的根本原因。所以这个项目的核心就是绕过passwd这个简单的“前台”直接深入到PAM这个“后台管理系统”去定制一套属于我们自己服务器的、严格的密码安检规则。我们将在CentOS 7和CentOS 8系统上实战目标非常明确分别对普通自建用户和特权root用户强制执行一套企业级密码策略包括最小密码长度8位、必须包含大小写字母/数字/特殊符号中的至少4种字符类型、并且同一类字符比如数字不能连续出现超过2个。这不仅仅是敲几个命令更是理解Linux系统安全底层逻辑的一次深度实践。2. 核心思路与PAM模块选型解析在动手之前我们必须搞清楚PAM是如何工作的以及有哪些“武器”模块可供我们调遣。PAM的配置文件通常位于/etc/pam.d/目录下每个需要认证的服务如passwd,login,sshd都有一个对应的配置文件。当passwd命令被执行时系统就会去读取/etc/pam.d/passwd这个文件里的规则。PAM的规则由一行行的“模块调用”组成每一行定义了一个检查步骤。其通用格式是模块类型 控制标志 模块路径 模块参数模块类型定义这个模块用来做什么比如auth认证、account账户管理、password修改密码、session会话管理。我们配置密码策略主要关注password类型。控制标志决定这个模块的成功或失败对整体认证结果的影响常见的有required必须成功但失败后仍会继续执行后续模块、requisite必须成功一旦失败立即终止并返回失败、sufficient如果成功则跳过后续同类型模块、optional可选结果通常不影响整体。模块路径模块文件在系统中的位置通常是/lib64/security/或/usr/lib64/security/下的.so文件。模块参数传递给模块的具体选项这是我们配置策略的关键。为了实现我们的密码策略目标我们需要组合使用以下几个核心的PAM模块pam_pwquality.so (或旧版的pam_cracklib.so)这是我们的主力部队负责密码复杂度检查。在CentOS 7及以后的版本中pam_cracklib逐渐被功能更强大的pam_pwquality取代。它能检查密码长度、字符类型、重复字符、常见字典词等几乎涵盖了我们对密码复杂度的所有要求。pam_unix.so这是后勤保障部队负责实际的密码哈希计算、更新/etc/shadow文件等底层操作。pwquality模块检查通过后才会由pam_unix来执行最终的密码修改动作。pam_pwhistory.so这是可选的历史档案员用于防止用户重复使用最近用过的旧密码。对于要求定期更换密码且不能与近期历史密码重复的场景非常有用。我们的策略设计思路是在/etc/pam.d/passwd配置文件中让pam_pwquality模块作为password类型的第一道关卡对用户输入的新密码进行严格审查。只有通过了它的所有规则流程才会继续交给pam_unix模块去实际更新密码。通过这种“先审查后执行”的管道式设计我们就能牢牢把控密码的质量。注意在CentOS 8/RHEL 8及更新版本中pam_pwquality的配置方式与CentOS 7略有不同它更倾向于使用一个独立的配置文件/etc/security/pwquality.conf而不是将大量参数直接写在PAM配置行里。这是本次实战中需要特别注意的版本差异点。3. 实战环境准备与关键配置文件解读工欲善其事必先利其器。在开始修改配置之前我们需要确认环境并理解几个关键文件的作用避免误操作导致系统登录故障这可是个“坑”点。3.1 系统版本确认与模块安装首先通过cat /etc/redhat-release命令确认你的系统是CentOS 7还是CentOS 8。这个区别很重要。 对于CentOS 7pam_pwquality模块通常默认已安装。如果没有可以通过yum install libpwquality来安装。 对于CentOS 8同样使用dnf install libpwquality确保其存在。3.2 核心配置文件解读/etc/pam.d/passwd这是我们主要的操作对象。它控制着passwd命令的认证流程。在修改前务必先备份cp /etc/pam.d/passwd /etc/pam.d/passwd.bak。这是你的“后悔药”。/etc/pam.d/system-auth和/etc/pam.d/password-auth这两个是全局性的PAM配置文件。很多其他服务如login,sshd,su会通过include指令引用它们。这意味着如果你在这两个文件里配置了密码策略它将影响几乎所有通过PAM进行密码认证的场景。对于新手我强烈建议先从/etc/pam.d/passwd这个单一入口开始实验成功后再考虑是否应用到全局。直接修改全局文件一旦配置错误可能导致所有用户包括root无法登录那就只能通过单用户模式或救援模式来挽救了这是第一个大坑。/etc/security/pwquality.conf(CentOS 8重点)这是CentOS 8/RHEL 8中为pam_pwquality模块提供的独立配置文件。模块会优先读取这里的参数这使得配置更加清晰和集中。在CentOS 7中这个文件也可能存在但PAM配置行中的参数会覆盖它。3.3 安全操作准则保持一个活跃的root会话在修改PAM配置的整个过程中确保当前已经通过SSH或控制台登录了一个root权限的会话并且不要退出。如果新配置导致密码修改失败你还可以在这个会话里回滚配置。开两个终端窗口一个用于编辑配置文件终端A另一个用于测试passwd命令终端B。在终端A保存配置后立即在终端B用普通用户测试而不要用root测试。因为root用户有时会绕过某些策略用普通用户测试更能反映真实效果。理解“回退”方法如果配置错误导致passwd命令完全无法使用你的救生索就是之前备份的passwd.bak文件或者那个未关闭的root会话。记住命令cp /etc/pam.d/passwd.bak /etc/pam.d/passwd。4. CentOS 7 详细配置步骤与参数详解现在我们进入CentOS 7的实战环节。我们的目标是编辑/etc/pam.d/passwd文件在其中插入pam_pwquality的检查规则。4.1 编辑PAM配置文件使用你熟悉的编辑器比如vi或nano打开配置文件vi /etc/pam.d/passwd你会看到类似如下的默认内容不同版本可能略有差异#%PAM-1.0 auth include system-auth account include system-auth password substack system-auth -password optional pam_gnome_keyring.so use_authtok我们需要在password类型的区域具体是在substack system-auth这一行之前添加我们的pam_pwquality模块行。因为PAM按顺序执行我们需要先做复杂度检查再做密码更新。修改后的password部分应该像这样#%PAM-1.0 auth include system-auth account include system-auth password requisite pam_pwquality.so try_first_pass local_users_only retry3 minlen8 minclass4 maxrepeat2 enforce_for_root password substack system-auth -password optional pam_gnome_keyring.so use_authtok关键参数逐行解析requisite控制标志。这里使用requisite是因为我们希望密码复杂度检查一旦失败就立即终止整个密码修改过程并向用户报错。这比required更严格能提供更即时的反馈。pam_pwquality.so调用的模块。try_first_pass这个参数非常有用。它告诉模块先尝试使用之前由其他模块已经输入过的密码避免向用户重复索要密码。在passwd命令流程中这通常就是用户输入的新密码。local_users_only只对本地用户/etc/passwd中的用户强制执行此策略。这可以避免对LDAP、NIS等网络账户源产生影响。retry3允许用户重试的次数。如果密码不符合策略用户有3次机会重新输入。minlen8最小密码长度这里设置为8。注意这个长度可能受到系统默认值的微调但设置8会确保底线是8。minclass4最小字符类别数。这是实现“4种字符类型”要求的关键参数。pam_pwquality将字符分为4类大写字母ucredit、小写字母lcredit、数字dcredit、特殊符号ocredit。minclass4意味着密码必须同时包含这全部4类字符。maxrepeat2同一字符连续出现的最大次数。设置为2意味着像 “aaa”、“111” 这样的连续3个相同字符是不允许的但 “aa”、“11” 是允许的。这有效防止了过于简单的重复模式。enforce_for_root至关重要的参数。默认情况下密码策略对root用户是豁免的。加上这个参数将强制root用户也必须遵守同样的复杂度规则。从安全角度这非常必要。4.2 补充配置/etc/security/pwquality.conf虽然我们在PAM行里指定了参数但也可以同时配置/etc/security/pwquality.conf文件来设置默认值。编辑这个文件vi /etc/security/pwquality.conf找到并修改或添加以下行minlen 8 minclass 4 maxrepeat 2 dcredit -1 ucredit -1 lcredit -1 ocredit -1这里dcredit -1等参数的含义是要求密码中至少包含1个数字。如果设置为正数如dcredit 1则代表密码中每包含一个数字密码长度要求可以减1这是一种鼓励使用数字的权重机制但不如minclass直接要求全面包含来得严格。为了清晰匹配“4类字符”的要求我们使用minclass4并配合负数的credit参数来强化。4.3 测试验证保存所有文件后打开另一个终端终端B切换到一个普通测试用户不要用rootsu - testuser passwd然后尝试设置各种密码观察策略是否生效尝试123456- 应失败提示长度不足或字符类别不足。尝试abcdefgh- 应失败提示字符类别不足只有小写字母。尝试Abc123!- 应失败提示长度不足7位。尝试Abc123!!-可能成功也可能失败。虽然长度8有大小写、数字、特殊符号4类但特殊符号!!连续出现了2个以上不maxrepeat2指的是同一类字符的连续出现。!和!是同类特殊符号连续2个是允许的等于2。所以这个密码应该符合规则。尝试AAbc123!- 应失败因为大写字母A连续出现了2次以上AAA不允许但AA是允许的这里AA连续2次是允许的边界。等等这个例子中AA是连续2个大写字母并未超过maxrepeat2所以应该通过。一个更好的失败例子是AAAbc123!这里A连续3次会触发maxrepeat错误。尝试Root123- 成功如果当前用户是testuser。在终端A的root会话中尝试为root自己修改密码passwd然后输入一个简单密码如12345678。由于我们设置了enforce_for_root这个操作也必须失败。这是检验策略是否真正应用到root的关键测试。5. CentOS 8 / RHEL 8 配置差异与实战CentOS 8 在PAM配置上更推崇使用独立的pwquality.conf文件使得PAM配置文件本身更加简洁。但理解其工作原理同样重要。5.1 配置文件调整首先查看/etc/pam.d/passwd你会发现它可能已经包含了pam_pwquality但参数可能很少password requisite pam_pwquality.so try_first_pass local_users_only或者它可能通过substack system-auth引用了全局配置。无论哪种情况我们配置的主战场变成了/etc/security/pwquality.conf。编辑这个文件vi /etc/security/pwquality.conf你需要取消相关参数的注释并修改值。一个满足我们要求的配置示例如下# 最小长度 minlen 8 # 最少字符类别数字、大写、小写、其他 minclass 4 # 相同字符最大连续次数 maxrepeat 2 # 至少包含1个数字 dcredit -1 # 至少包含1个大写字母 ucredit -1 # 至少包含1个小写字母 lcredit -1 # 至少包含1个特殊符号 ocredit -1 # 拒绝包含用户名正向或反向 usercheck 1 # 检查是否基于旧密码简单变形 difok 5 # 启用root用户策略 enforce_for_root 1重点参数补充说明usercheck 1这是一个很好的安全实践它会拒绝密码中包含用户名正序或逆序的情况。例如用户名为john那么密码john123!或nhoj!#都会被拒绝。difok 5要求新密码与旧密码至少有5个字符不同。这防止了用户只做微小修改如Password01改为Password02来应付密码更换策略。5.2 PAM配置行的确认确保/etc/pam.d/passwd中包含了pam_pwquality.so模块行并且没有在行内重复定义minlen、minclass等参数除非你想覆盖pwquality.conf的设置。通常保持一行简单的requisite pam_pwquality.so引用即可所有复杂策略都在pwquality.conf中定义。5.3 测试验证同CentOS 7测试方法与CentOS 7完全一致。使用普通用户和root用户进行多轮测试确保策略在两种系统上都按预期工作。特别注意enforce_for_root在CentOS 8的pwquality.conf中配置是否生效。6. 针对不同用户实施差异化策略我们的初始需求是“分别设置自建用户和root用户”。上面的配置通过enforce_for_root实现了对root的同等强度要求。但如果想实现差异化策略比如对root要求更严或者对某些管理用户放宽该怎么办PAM本身可以通过pam_succeed_if等模块进行条件判断但配置起来较为复杂且容易出错。一个更清晰、更易维护的方案是不修改全局PAM规则而是通过配置pwquality.conf的不同包含路径或者为特定用户/组设置Linux用户密码过期策略来间接实现。6.1 使用pam_pwquality的local_users_only和用户组判断pam_pwquality模块的local_users_only参数已经帮我们区分了本地用户和网络用户。但对于本地用户内部的区分PAM行内参数很难动态变化。一个取巧但不完美的方法是如果你有两组本地用户需要不同策略可以创建两个不同的PAM配置文件如passwd-strict和passwd-normal里面引用不同参数的pam_pwquality行。然后通过修改用户的shell或者创建自定义命令别名的方式让不同用户组使用不同的命令来改密。但这破坏了passwd命令的统一性不推荐在生产环境大规模使用。6.2 结合chage命令进行账户策略差异化对于“差异化”更常见的需求可能不是复杂度而是密码有效期、过期警告期、失效宽限期等。这些可以通过chage命令对每个用户进行精细控制。例如chage -M 90 user1设置user1密码90天后过期。chage -M 0 root设置root密码永不过期-M 0。请注意让root密码永不过期是一个有争议的安全实践需谨慎评估。chage -W 7 user1在密码过期前7天开始警告user1。chage -l user1列出user1的所有账户老化信息。6.3 实现思路总结因此对于“分别设置”的需求最务实且安全的做法是密码复杂度策略统一且严格使用上述的PAM配置对所有用户包括root实施统一的、高强度的基础密码复杂度要求长度、字符种类、连续性。这是安全的底线不应妥协。密码生命周期策略差异化使用chage命令针对不同的用户或用户组设置不同的密码最大有效期-M、最小修改间隔-m等。例如给普通用户设置90天强制改密给服务账户设置更长的有效期或永不过期需结合其他监控手段。对于特权用户如root除了同样遵守复杂度策略更应该强调使用SSH密钥登录、禁用密码登录、配置sudo日志审计等更高级别的安全措施而不是仅仅在密码生命周期上做区别。7. 常见问题排查与实战心得在实际配置和运维中你肯定会遇到各种“坑”。下面是我总结的一些典型问题及解决方法。7.1 问题配置后passwd命令报错 “Unknown module ‘pam_pwquality.so’ 或 ‘pam_cracklib.so’”原因模块未安装或者模块路径不正确。排查确认模块是否安装rpm -qa | grep -E libpwquality|cracklib。查找模块确切路径find /usr/lib* /lib* -name \pam_pwquality.so\ 2/dev/null。通常路径是/usr/lib64/security/pam_pwquality.so。在PAM配置行中使用完整的绝对路径例如password requisite /usr/lib64/security/pam_pwquality.so try_first_pass ...。7.2 问题密码明明符合要求但系统一直提示“BAD PASSWORD”原因字典检查pam_pwquality默认会检查密码是否基于常见字典单词。像Password123!这种即使满足长度和字符类要求也可能因为包含Password这个字典词而被拒绝。difok参数新密码与旧密码相似度太高。usercheck参数新密码包含了用户名。排查可以临时在PAM参数中或pwquality.conf中加入dictcheck0来禁用字典检查仅用于测试生产环境慎用看是否通过。检查pwquality.conf中的difok和usercheck设置。查看系统日志获取更详细错误信息tail -f /var/log/secure。当密码修改失败时这里通常会有来自PAM模块的、比命令行更详细的拒绝原因。7.3 问题root用户修改密码似乎不受策略限制原因没有在配置中添加enforce_for_root参数。解决确保在pam_pwquality模块的参数末尾加上了enforce_for_root。在CentOS 8的pwquality.conf中也要单独设置enforce_for_root 1。7.4 问题修改PAM配置后所有用户都无法登录了最严重的情况预防这就是为什么强调要在活跃的root会话中操作并且先备份先测试passwd而不是直接测试登录。恢复如果你还有一个有效的root会话直接还原备份文件cp /etc/pam.d/passwd.bak /etc/pam.d/passwd。如果已经无法登录需要重启服务器在GRUB引导时编辑内核启动参数在linux行末尾添加single或init/bin/bash进入单用户模式或bash环境然后挂载文件系统并还原配置。这是最后的手段操作需谨慎。7.5 实操心得与建议测试测试再测试每修改一次PAM配置立即用一个非特权、非关键的测试用户进行passwd测试。验证符合要求的密码能成功不符合要求的密码被明确拒绝。使用pwscore和pwmake工具libpwquality包提供了两个有用的命令行工具。echo YourPassword | pwscore可以给密码打分并指出问题。pwmake 64可以生成一个符合当前策略的随机密码数字64代表熵的位数数字越大密码越复杂。它们是你制定策略和培训用户时的好帮手。策略宣导在实施严格的密码策略前最好能通知用户并给出符合要求的密码示例例如MyDog2024!甚至可以提供一个简单的密码生成方法。这能减少支持压力。记录与审计将最终的、测试通过的PAM配置和pwquality.conf配置纳入你的配置管理如Ansible Playbook, Salt State并记录变更。定期使用chage -l username检查关键账户的密码状态。密码策略只是第一道防线不要迷信密码复杂度。启用SSH密钥认证、配置Fail2ban防止暴力破解、定期更新系统、实施最小权限原则这些共同构成了服务器安全的纵深防御体系。