更改linux密码命令是什么？Linux修改用户密码方法详解

在Linux系统管理中，用户账号安全是系统安全的核心基石，而密码则是第一道防线。更改linux密码并非简单的字符替换操作，而是一个涉及权限验证、加密算法选择以及安全策略配置的系统工程。 对于系统管理员而言，掌握多种密码修改方式、理解passwd文件机制以及规避常见安全陷阱，是保障服务器安全运行的必备技能，本文将遵循金字塔原则，从核心操作入手,层层深入解析密码管理的高级策略与安全实践。

核心结论：掌握passwd命令是解决问题的关键

无论面对的是何种Linux发行版，更改用户密码最核心、最标准、最安全的工具永远是passwd命令。 整个密码管理流程可以概括为三个关键层级：

1. 基础操作层：熟练使用passwd命令进行当前用户密码更新与root用户权限下的密码重置。
2. 安全策略层：通过配置/etc/login.defs和/etc/shadow文件,实施密码时效与复杂度控制。
3. 高级应用层：利用非交互式方式与脚本结合，实现批量用户管理,同时规避历史记录泄露风险。

基础操作：passwd命令的深度解析

passwd命令是Linux系统中用于更改用户密码的主要工具,其功能远不止修改密码本身。

1. 普通用户修改自身密码
   普通用户执行passwd命令时，系统会要求输入当前密码进行身份验证，验证通过后，需输入两次新密码。这一过程受到PAM（可插拔认证模块）的严格监管。 如果新密码过于简单（如字典词汇、长度不足），系统会拒绝修改并提示“BAD PASSWORD”。

   • 操作指令：passwd
   • 验证机制：先验证旧密码,再验证新密码复杂度。

2. Root用户重置任意用户密码
   Root用户拥有最高权限，在修改任意用户密码时，无需知道该用户的旧密码，且不受密码复杂度策略的限制（除非配置了强制弱口令检查）。 这是系统管理员在用户忘记密码时的标准救援方式。

   • 操作指令：passwd username
   • 核心优势：跳过旧密码验证,直接设定新密码。

3. 锁定与解锁账号
   在账号安全管控中，临时禁用账号比删除账号更常见。passwd命令提供了锁定与解锁功能。

   • 锁定指令：passwd -l username（在shadow文件中密码前添加“!!”前缀）。
   • 解锁指令：passwd -u username。
   • 状态查看：passwd -S username,可显示账号是锁定状态还是密码已设置。

进阶管理：密码文件与加密机制

理解/etc/passwd与/etc/shadow的关系,是深入掌握Linux密码管理的必经之路。

1. Shadow文件机制
   早期的Unix系统将密码哈希存储在/etc/passwd中，由于该文件对所有用户可读，存在极大的安全隐患，现代Linux系统采用Shadow机制，将加密后的密码哈希存储在仅root可读的/etc/shadow文件中。

   • /etc/passwd：存储用户ID、组ID、家目录等非敏感信息。
   • /etc/shadow：存储密码哈希、最后一次修改日期、最小/最大密码年龄等敏感数据。

2. 密码加密算法
   系统默认使用的加密算法直接影响密码的安全性，目前主流Linux发行版默认采用SHA-512算法，其生成的哈希值以$6$开头。

   • 查看当前加密算法：authconfig --test | grep hashing
   • 算法演进：DES（不安全） -> MD5（已被破解） -> SHA-256 -> SHA-512（当前标准）。
   • 建议： 生产环境中严禁使用MD5或DES加密，应确保系统使用SHA-512或更高级别的算法。

安全策略：构建坚固的防御体系

仅仅知道如何修改密码是不够的，管理员必须强制执行密码安全策略,防止用户设置弱口令。

1. 配置密码时效
   通过修改/etc/login.defs文件,可以全局定义密码的生命周期。

   • PASS_MAX_DAYS 90：密码最长使用天数,建议设置为90天。
   • PASS_MIN_DAYS 0：密码修改最小间隔天数。
   • PASS_WARN_AGE 7：密码过期前警告天数。
     对于已存在的用户，需使用chage命令调整，例如chage -M 90 username。

2. 密码复杂度控制
   通过配置/etc/security/pwquality.conf（CentOS 7+）或/etc/pam.d/system-auth文件，强制要求密码包含大小写字母、数字和特殊符号。

   • minlen = 8：最小密码长度。
   • dcredit = -1：至少包含一个数字。
   • ucredit = -1：至少包含一个大写字母。
   • ocredit = -1：至少包含一个特殊字符。
     强制实施复杂度策略是防御暴力破解的最有效手段。

高级技巧：非交互式与批量修改

在自动化运维场景中，管理员需要通过脚本批量修改密码,此时交互式输入不再适用。

1. 标准输入重定向法
   利用管道符将密码传递给passwd命令，虽然简单,但在多用户环境下需注意权限。

   

   • 指令：echo "NewPassword" | passwd --stdin username
   • 注意：此方法在部分发行版（如Ubuntu）可能不支持--stdin参数，需使用chpasswd命令。

2. chpasswd批量修改
   chpasswd是专门用于批量更新密码的工具,适合从文件读取用户名和密码对。

   • 格式：echo "username:password" | chpasswd
   • 优势：支持批量处理,效率极高。

3. 安全风险与规避
   使用非交互式修改密码时，密码会以明文形式出现在命令历史记录（history）或进程列表中。

   • 规避方案：在脚本开头设置set +o history，执行完毕后恢复set -o history。
   • 最佳实践：建议使用SSH Key认证替代密码登录,彻底消除密码泄露风险。

常见故障排查

在执行密码修改操作时，可能会遇到“Authentication token manipulation error”等错误,通常由以下原因导致：

1. 文件系统权限：/etc/shadow文件权限被错误修改，导致无法写入，需恢复权限为000或600。
2. inode满了：根分区磁盘空间或inode耗尽,导致无法修改文件。
3. SELinux限制：在SELinux强制模式下，错误的上下文可能阻止密码修改,可临时设置为Permissive模式进行排查。

---

相关问答

忘记了Linux Root密码，如何进行重置？

解答：
这是系统管理员常遇到的紧急情况,重置Root密码需要物理接触服务器或通过控制台访问虚拟机。

1. 重启系统，在GRUB启动菜单界面选中内核行，按e键进入编辑模式。
2. 找到以linux16或linux开头的行，在行尾添加rd.break或init=/bin/bash。
3. 按Ctrl+X进入紧急救援模式。
4. 重新挂载根文件系统为读写模式：mount -o remount,rw /sysroot。
5. 切换根目录：chroot /sysroot。
6. 执行passwd命令修改Root密码。
7. 如果系统开启了SELinux，必须执行touch /.autorelabel创建重标记文件。
8. 退出并重启系统：exit -> reboot。

为什么普通用户修改密码时会提示“BAD PASSWORD: it is based on a dictionary word”？

解答：
这是Linux系统的PAM模块中的pam_pwquality或pam_cracklib模块在起作用，系统默认启用了字典检查功能，防止用户使用常见的英文单词作为密码，这不仅是为了防止密码过于简单，更是为了防御字典攻击，解决方法是设置一个包含大小写字母、数字和特殊符号的复杂密码，且不要包含完整的英文单词，管理员也可以通过修改/etc/security/pwquality.conf配置文件调整字典检查的严格程度,但在生产环境中不建议关闭此功能。