Linux用户密码修改与强制更新过期密码操作指南

在Linux系统运维与安全管理中，用户密码的有效管理是保障系统安全的基础环节。无论是日常账户维护、合规性检查，还是应对安全事件，熟练掌握密码修改、强制更新及策略检查的多种方法，都能显著提升管理效率与系统安全性。本文将系统梳理几种核心的密码管理技巧，帮助你从容应对各类场景。

普通用户如何修改自身密码：使用 passwd 命令

普通用户修改自己的密码操作简便。登录系统后，在终端直接执行 passwd 命令，随后根据提示依次输入当前密码和两次新密码即可完成。此过程无需管理员权限，但前提是用户必须记得住现有密码。

操作过程中常见的失败原因主要有两个：一是当前密码输入错误；二是新密码不符合系统的密码复杂度策略（通常由PAM模块控制），导致被拒绝。若遇到类似 Authentication token manipulation error 的错误提示，除了检查密码输入，还需排查更深层问题，例如 /etc/shadow 文件权限异常或文件系统处于只读模式。

关键点提示：passwd 命令默认仅修改当前已登录用户的密码。若普通用户尝试在后面指定其他用户名（如 passwd alice），将被视为越权操作，系统会拒绝执行。

管理员（root）如何修改其他用户密码：使用 passwd username

拥有root权限的系统管理员可以灵活地为任意用户重置密码，且无需验证其旧密码。命令格式为 passwd 用户名，例如执行 passwd bob，随后直接输入并确认新密码，修改即可立即生效。

此操作会直接更新 /etc/shadow 文件中对应用户的加密密码哈希值，并同时重置该用户的密码过期状态。要验证修改效果，可使用 chage -l bob 命令查看其详细的密码策略信息。

一个容易被忽略的细节是：当管理员修改某个已登录用户的密码时，该用户当前的活跃会话（如SSH连接或图形桌面会话）不会立即被终止。用户仍可继续使用原有会话，直到主动注销或会话因超时等原因被系统断开。

如何强制用户下次登录时修改密码：使用 chage -d 0 命令

在某些场景下，如新账户初始化、安全审计后或密码泄露应急响应，需要强制用户在下次登录时立即更改密码。此时，管理员可以执行 chage -d 0 username 命令。执行后，目标用户下次尝试登录时，系统会强制其进入密码修改界面，完成更新后才能正常访问系统。

该命令的实现原理是：将 /etc/shadow 文件中用户对应的“上次密码修改日期”字段设置为0（代表1970年1月1日），系统会据此判定密码已过期，从而触发强制更新流程。此方法在批量账户安全管理中尤为实用。

• 请注意，chage -d 0 仅对命令执行后发起的新登录尝试生效，不影响用户已建立的现有会话。
• 此外，如果用户配置了SSH密钥认证并禁用了密码登录，此强制措施将失效，因为登录流程不经过密码验证环节。
• 除了 chage -d 0，管理员也可使用 passwd -e username 命令达到类似效果，但前者在语义上更清晰地体现了“将最后修改日期归零”的核心操作。

如何检查与调试密码过期策略：使用 chage -l 与 grep 命令

高效的密码管理不仅在于“修改”，更在于“监控”与“排查”。要详细了解特定用户的密码状态和策略，chage -l username 命令是最佳工具。其输出信息中，需重点关注 Last password change（最后修改时间）、Password expires（密码过期时间）、Password inactive（密码失效宽限期）等字段。若显示为 never，则表示未启用相应的过期策略。

若需批量筛查所有被设置为“强制下次登录修改密码”的用户，可以使用以下命令快速实现：sudo awk -F: '$5 == "0" {print $1}' /etc/shadow。该命令会从 /etc/shadow 文件中提取出“上次修改日期”为0的所有账户名。

实际管理中，更复杂的问题往往源于系统层面的PAM（可插拔认证模块）策略。例如，若 /etc/pam.d/common-password 配置文件中设置了 remember=5，则系统会禁止用户重复使用最近5次用过的密码。此时，即使用户输入的旧密码正确，修改请求也会被拒绝。遇到此类隐晦的错误时，建议结合系统认证日志 /var/log/auth.log（或 /var/log/secure，取决于发行版）进行详细排查，以定位具体的拒绝原因。