linux 密码过期 不锁定

Linux系统中，用户密码过期是一种安全机制，旨在强制用户定期更改密码，以防止密码被长期滥用或泄露。然而，有时出于某些原因，我们可能不希望用户的密码过期后账户被锁定。以下是关于Linux密码过期不锁定的基础概念及相关信息：

基础概念

1. 密码过期策略：
   • Linux系统通常使用/etc/shadow文件来存储用户的密码信息，包括密码的过期时间。
   • chage命令用于管理用户的密码过期策略。

• 密码过期不锁定：
  • 默认情况下，当用户密码过期时，系统会提示用户更改密码，并在多次登录失败后锁定账户。
  • 可以通过配置PAM（Pluggable Authentication Modules）或修改相关配置文件来实现密码过期但不锁定的效果。

相关优势

• 用户体验：避免因密码过期导致用户无法登录，特别是在用户忘记密码或无法及时更改密码的情况下。
• 灵活性：适用于某些特定场景，如临时账户或测试环境。

类型与应用场景

• 临时账户：为短期任务创建的用户账户，不需要长期保持活跃。
• 测试环境：在开发和测试过程中，频繁更改密码可能会干扰工作流程。

配置方法

方法一：使用chage命令

# 设置用户密码永不过期
sudo chage -M -1 username

# 设置用户密码过期时间为365天
sudo chage -M 365 username

方法二：修改PAM配置

编辑/etc/pam.d/common-password文件，注释掉或删除以下行：

# password requisite pam_pwquality.so retry=3 minlen=8 dcredit=-1 ucredit=-1 ocredit=-1 lcredit=-1

然后添加以下行：

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok

方法三：修改/etc/login.defs

编辑/etc/login.defs文件，设置以下参数：

PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_WARN_AGE   7

可能遇到的问题及解决方法

问题1：修改配置后仍无法登录

原因：可能是由于系统缓存或配置文件未正确生效。

解决方法：

# 清除PAM缓存
sudo pam-auth-update --force

# 重启相关服务（如sshd）
sudo systemctl restart sshd

问题2：密码过期提示仍然存在

原因：可能是由于用户的密码策略未正确更新。

解决方法：

# 检查用户的密码策略
sudo chage -l username

# 确保密码过期时间设置正确
sudo chage -M -1 username

通过以上方法，您可以有效地配置Linux系统，使用户在密码过期后仍能正常登录，而不必担心账户被锁定。