Linux chage命令如何修改用户密码过期时间？

Linux chage命令详解：管理用户账户密码策略的有效工具

在Linux系统中,用户账户管理是系统管理员的核心任务之一，而密码策略的制定与执行直接关系到系统的安全性。chage（change age）命令作为Linux用户管理工具集的重要组成部分，专门用于修改用户密码的过期信息，包括密码有效期、最近修改时间、警告天数等参数，通过灵活运用chage命令，管理员可以强制实施强密码策略，提升系统的整体安全防护能力，本文将详细介绍chage命令的功能、语法、常用参数及实际应用场景。

chage命令的基本语法与功能

chage命令的基本语法结构为：

chage [选项] 用户名  

该命令的主要功能是调整用户账户的密码策略相关配置,其核心操作包括设置密码过期时间、强制用户在下次登录时修改密码、显示当前密码策略状态等，与passwd命令不同，chage更侧重于策略层面的管理，而非直接修改密码内容，通过结合不同的选项，管理员可以实现对用户密码生命周期的精细化控制。

核心参数详解及使用场景

1. -l（列出当前密码策略）
   该选项用于显示用户当前的密码策略信息，包括上次修改时间、密码过期时间、警告天数等。

   chage -l username  

   输出结果会以清晰的格式展示所有相关日期和策略参数,帮助管理员快速了解用户账户的密码状态。

2. -M（设置密码最大有效期）
   密码最大有效期（Max days）是密码策略的核心参数之一，用于规定密码在多少天后必须被修改，设置密码每90天过期一次：

   sudo chage -M 90 username  

   若设置为0，则表示密码永不过期，但此操作需谨慎使用，可能带来安全风险。

3. -m（设置密码最小有效期）
   密码最小有效期（Min days）用于防止用户频繁修改密码，通常与-M配合使用，禁止用户在首次修改密码后的30天内再次修改：

   

   sudo chage -m 30 username  

4. -W（设置密码过期警告天数）
   当密码即将过期时，系统会在用户登录时提前发出警告，设置密码过期前7天开始警告：

   sudo chage -W 7 username  

5. -E（设置账户过期日期）
   该选项用于设定账户的绝对过期时间，适用于临时账户或项目用户，设置账户在2024年12月31日过期：

   sudo chage -E 2024-12-31 username  

6. -d（设置上次密码修改时间）
   通过修改Last change日期，可以强制用户在下次登录时修改密码，将上次修改时间设置为当前日期：

   sudo chage -d 0 username  

   此操作常用于新用户初始化或密码重置场景。

实际应用案例

1. 为新用户设置强密码策略
   对于需要高安全性的系统，管理员可以为新用户设置严格的密码策略：

   sudo chage -m 7 -M 60 -W 14 -E 2025-01-01 newuser  

   此策略要求密码至少使用7天,每60天更新一次，提前14天警告，且账户于2025年1月1日过期。

2. 审计并更新现有用户的密码策略
   当公司安全策略调整时，管理员可能需要批量修改现有用户的密码有效期，将所有用户的密码有效期统一调整为120天：

   

   for user in $(cut -d: -f1 /etc/passwd); do  
     sudo chage -M 120 $user  
   done  

3. 处理长期未登录的用户
   对于长期未登录且密码过期的账户，管理员可以强制其更新密码或锁定账户：

   sudo chage -d 0 inactive_user  # 强制下次登录时修改密码  

注意事项与最佳实践

1. 权限管理
   chage命令通常需要root权限或sudo权限执行，普通用户只能查看自己的密码策略（通过chage -l）。

2. 与/etc/login.defs的协同
   chage的设置会覆盖/etc/login.defs中的默认策略，但后者仍对新用户创建时的初始策略生效，建议两者结合使用，确保策略一致性。

3. 日志记录
   重要的密码策略修改操作应记录在系统日志中，便于后续审计，可通过logger命令或日志管理工具实现：

   sudo chage -M 90 username && logger "Updated password policy for user: username"  

4. 避免过度限制
   过短的密码有效期或频繁的修改要求可能导致用户使用简单密码或记录密码，反而降低安全性，需在安全性与用户体验间找到平衡。

chage命令作为Linux用户密码管理的利器，通过灵活配置密码有效期、警告机制和账户生命周期，为系统安全提供了坚实保障，管理员在实际操作中，需结合具体业务场景和安全需求，合理设置参数，并定期审计策略执行效果，掌握chage命令的使用技巧，不仅能提升系统安全性，还能规范用户行为，构建更加健壮的Linux环境，在日常运维中，将其与其他用户管理工具（如usermod、passwd）结合使用，可实现对用户账户的全生命周期管理。