Linux系统用户密码管理详解:passwd命令完全指南

在Linux系统管理中,用户密码管理是一项基础且关键的安全任务。passwd命令作为Linux用户密码管理的核心工具,允许用户查看、修改和管理账户认证信息。本指南将深入解析passwd命令的使用场景、权限控制、安全最佳实践,并附带企业级环境中的操作示例。

目录#

  1. passwd命令基础
    • 命令功能概述
    • 语法结构
  2. 修改自身密码
    • 交互式修改流程
    • 非交互式修改(不推荐)
  3. 管理员操作:修改其他用户密码
    • sudo权限配置
    • 批量修改实践
  4. 密码策略管理
    • 密码状态查询
    • 密码有效期设置
    • 强制修改策略
  5. 配置文件解析
    • /etc/passwd 与 /etc/shadow
    • 密码存储机制
  6. 安全最佳实践
    • 密码复杂度要求
    • 定期更换策略
    • 服务账户密码管理
  7. 常见问题排查
    • 权限拒绝处理
    • 密码验证失败分析
  8. 高级技巧
    • chpasswd批量操作
    • 密码过期预警
  9. 附录:参考命令速查

1. passwd命令基础#

功能概述#

passwd 命令用于:

  • 修改当前用户密码
  • 修改其他用户密码(需root权限)
  • 锁定/解锁用户账户
  • 设置密码过期策略

命令语法#

passwd [选项] [用户名]

2. 修改自身密码#

交互式修改(推荐)#

$ passwd
Changing password for currentuser.
(current) UNIX password:  # 输入旧密码
New password:            # 输入新密码(无回显)
Retype new password:     # 确认新密码
passwd: password updated successfully

⚠️ 非交互式修改(仅限测试环境)#

echo "new_password" | passwd --stdin username  # 适用于RHEL/CentOS

安全警告: 命令历史可能记录密码,生产环境禁用

3. 管理员操作:修改其他用户密码#

使用sudo修改#

$ sudo passwd targetuser
Enter new UNIX password:   # 输入新密码
Retype new password: 
passwd: password updated successfully

批量修改脚本示例#

#!/bin/bash
for user in user1 user2 user3
do
  echo "${user}:$(openssl rand -base64 12)" | sudo chpasswd
done

4. 密码策略管理#

检查密码状态#

$ sudo passwd -S username
username P 05/30/2023 0 99999 7 -1

状态解读:

  • P: 密码有效 (L=锁定, NP=无密码)
  • 最后修改日期
  • 最短有效期
  • 最长有效期
  • 过期预警天数

设置密码过期#

sudo passwd -e username  # 强制下次登录修改
sudo chage -M 90 username  # 设置90天有效期

5. 配置文件解析#

/etc/shadow 结构#

username:$y$j9T$B84...salt$hashvalue:19300:0:90:7:::

字段说明:

  1. 加密算法标识(y=yescrypt,y=yescrypt, 6=SHA512)
  2. 盐值(salt) + 密码哈希
  3. 最后修改日期(距1970-1-1的天数)
  4. 最小修改间隔
  5. 最大有效期
  6. 过期前警告天数

6. 安全最佳实践#

密码策略强化#

  1. 复杂度要求(编辑 /etc/pam.d/common-password):

    password requisite pam_pwquality.so minlen=12 difok=3 ucredit=-1 lcredit=-1 dcredit=-1
    • minlen=12: 最小长度12位
    • ucredit=-1: 至少1个大写字母

  2. 定期更换

    sudo chage -M 90 -W 7 username  # 90天有效期+提前7天警告

  3. 服务账户原则

    sudo passwd -l serviceaccount  # 禁止交互登录
sudo chsh -s /usr/sbin/nologin serviceaccount

7. 常见问题排查#

权限拒绝错误#

$ passwd otheruser
passwd: You may not view or modify password information for otheruser.

解决方案: 使用管理员权限执行

sudo passwd otheruser

密码验证失败#

BAD PASSWORD: it is too simplistic/systematic

原因: 违反密码策略规则,检查 /etc/security/pwquality.conf

8. 高级技巧#

批量修改工具 chpasswd#

echo "user1:NewPass123" | sudo chpasswd
cat userlist.txt | sudo chpasswd  # 文件格式 username:password

密码过期预警脚本#

#!/bin/bash
CURRENT_EPOCH=$(date +%s)
for user in $(cut -d: -f1 /etc/passwd); do
  exp_date=$(sudo chage -l $user | grep 'Password expires' | cut -d: -f2)
  if [ "$exp_date" != "never" ]; then
    exp_epoch=$(date -d "$exp_date" +%s)
    days_left=$(( ($exp_epoch - $CURRENT_EPOCH) / 86400 ))
    [ $days_left -lt 7 ] && echo "WARNING: $user 密码将在 $days_left 天后过期"
  fi
done

附录:参考命令速查#

命令功能
passwd修改当前用户密码
sudo passwd username管理员修改指定用户密码
passwd -d username危险 清空密码(禁用)
passwd -l username锁定账户
passwd -u username解锁账户
chage -l username查看详细密码策略

参考文献#

  1. Linux man-pages: man 1 passwd
  2. Linux man-pages: man 5 shadow
  3. PAM配置文件: /etc/pam.d/common-password
  4. NIST密码策略指南: SP 800-63B
  5. pwquality配置: /etc/security/pwquality.conf

安全警示: 本文档所有操作示例需在测试环境验证后方可在生产环境实施。密码明文传输操作(如--stdin)应避免在真实服务器使用。

2026-01