Linux密码的生命周期由/etc/login.defs文件的以下选项来控制： PASS_MAX_DAYS  120  ： 定义密码最长使用时间。 PASS_MIN_DAYS 30 ： 定义密码最短更换周期。

PASS_MIN_LEN 8 ： 定义密码最短长度。

PASS_WARN_AGE 7 ： 密码过期提前告警提示天数。 Linux密码的复杂度由/etc/pam.d/system-auth文件的选项来控制： 设置中 minlen=9表示密码长度最低是9 ucredit=-2 表示至少2个大写字母 lcredit=-2 表示至少2个小写字母 dcredit=-2表示至少2个数字 oredit=-2表示至少2个特殊符号 Centos 7 可以在/etc/security/pwquality.conf文件中设置密码复杂度策略，然后在/etc/pam.d/system-auth中设置对root起作用。

1、Linux对应的密码策略模块有：pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs，pam_pwquality对应的是/etc/security/pwquality.conf 2、模块的添加方法：/etc/pam.d/passwd password required pam_pwquality.so retry=3 3、模块的配置方法有两种： 一、password required pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0 二、添加到/etc/security/pwquality.conf 中 4、/etc/security/pwquality.conf详解： retry=N：定义登录/修改密码失败时，可以重试的次数； Difok=N：定义新密码中必须有几个字符要与旧密码不同。

用户帐号管理是系统管理员最重要的工作之一。而密码安全是系统安全中最受关注的一块。

本文将为大家介绍如何在 Linux 上设置系统用户密码复杂度策略。

密码复杂度假设你已经在你的 Linux 系统上使用了 PAM (Pluggable Authentication Modules，插入式验证模块)，因为这些年所有的 Linux 发行版都在使用它。一、准备工作安装 PAM 的 cracklib 模块，cracklib 能提供额外的密码检查能力。Debian、Ubuntu 或 Linux Mint 系统上：1$sudoapt-getinstalllibpam-cracklibCentOS、Fedora、RHEL 系统已经默认安装了 cracklib PAM 模块，所以在这些系统上无需执行上面的操作。为了强制实施密码策略，我们需要修改 /etc/pam.d 目录下的 PAM 配置文件。

一旦修改，策略会马上生效。注意：此教程中的密码策略只对非 root 用户有效，对 root 用户无效。二、禁止使用旧密码找到同时有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行，它表示禁止使用最近用过的5个密码（己使用过的密码会被保存在 /etc/security/opasswd 下面）。