4.5 密码管理

4.5.1 密码管理综述

UNIX/Linux系统的标准安全级别为C2级，具有用户身份认证、访问控制和操作的可靠性等特点。密码管理是实现身份认证的基础。

可用于密码的字符是广泛的，视不同系统而定。一般来说，可以使用大小写字母、数字、标点符号等，有的系统甚至可以使用光标键和功能键等。密码的长度也视具体系统或安全级而定。使用密码时应注意以下几个问题：

（1）密码应该按规定定期或不定期修改。

（2）密码内不应包含完整的单词、生日、电话号码、姓名、用户名、组名、宠物和地址等信息。

（3）不同系统和用户应该有不同的密码。

（4）密码应易记且不要写在纸上。

（5）要保密，不要共用密码。

（6）输入密码时不要让别人看见，也不要窥视别人的密码。

系统的安全与方便是矛盾的，不能因方便而忽略安全问题，也不能因过于强调安全而影响正常使用，应该在安全和方便之间找到平衡点或进行取舍。

4.5.2 密码管理命令（passwd）

1.功能与用法

passwd命令的功能是密码管理，包括改变或删除用户的密码、为用户上锁或解锁、改变或显示用户的密码属性等。其用法为：

                passwd [-k] [-l] [-u [-f]] [-d] [-n mindays] [-x maxdays] [-w warndays][-i inactivedays] [-S] [username]

2.参数说明

passwd命令的部分参数如表4-3所示。

除root外，修改密码时，系统将提示用户先输入旧密码。密码在它到期前是有效的，若在有限时间内没有设置或修改密码，则到期后的下一次必须修改密码。一个用户可被上锁，上锁后的用户一经退出将不能再登录。只有root能够上锁或解锁一个用户。尽管密码可以被删除或置空，但不推荐这样做。

4.5.3 密码管理示例

                #passwd-l user         #对用户user上锁。上锁后用户不能再登录系统
                #usermod -L user
                #passwd-u user         #对用户user解锁。解锁后用户可以再次登录系统
                #usermod -U user
                #passwd test1           #为用户test1修改密码
                #passwd               #用户自己修改密码
                #passwd-x 2 test2       #设置用户test2密码最长有效期为2天
                #passwd-d test1         #为用户test1删除密码