Linux怎么强制用户下次登录修改密码

最直接的方法是使用chage -d 0 [用户名]命令，将用户密码最后修改日期设为0（即1970年1月1日），系统会判定密码已过期，用户下次登录时必须强制修改密码，适用于新员工入职或安全策略要求等场景。

要在Linux系统上强制用户在下次登录时修改密码，最直接有效的方法就是利用

chage

命令，将其密码的最后修改日期设置为一个过去的时间点，通常是“0”天，这会立即让密码过期。

当你需要一个用户下次登录时必须改密码，比如新员工入职、密码泄露疑虑，或者只是遵循公司安全策略，

chage -d 0 [用户名]

是你的首选工具。这个命令的

-d

选项是用来设置“上次密码更改日期”的。当我们将它设为

0

（实际上代表1970年1月1日，Unix纪元的起点），系统就会认为这个密码已经过期了，用户一登录就会被强制要求设置新密码。

举个例子，如果你想让

john_doe

这个用户下次登录时修改密码：

sudo chage -d 0 john_doe

执行后，

john_doe

下次通过SSH或本地终端登录时，会看到类似这样的提示：

You are required to change your password immediately.
Current password:
New password:
Retype new password:

用户输入旧密码（如果设置过），然后两次输入新密码即可。这个过程很直接，对用户来说也比较明确。我个人觉得，这种方式比直接用

passwd -e

冻结账户更优雅，因为它给了用户一个清晰的路径去恢复访问，而不是直接锁死。

为什么我们总要和“强制改密码”打交道？

说实话，强制用户改密码这事儿，很多时候听起来有点“霸道”，但它背后通常都有很实际的安全考量。我见过太多因为默认密码没改、或者密码被社工后导致的安全事件了。

• 安全基线与合规性： 很多时候，这是企业安全策略的一部分，比如新入职员工的初始密码，或者定期强制所有用户更新密码以符合GDPR、HIPAA等合规性要求。这就像给房子定期做体检，虽然麻烦点，但能及时发现隐患。
• 应对潜在风险： 当我们怀疑某个账户可能被攻破，或者用户不小心在不安全的网站上使用了相同密码时，强制修改密码是止损的第一步。这就像发现家里门锁可能被撬动过，赶紧换个锁芯。
• 管理员操作后的清理： 有时管理员为了排查问题或进行维护，可能需要临时知道或修改某个用户的密码。操作完成后，为了安全起见，立即强制用户自行修改密码是最佳实践，避免管理员知道的密码长期有效。
• 弱密码的纠正： 偶尔，我们会发现用户设置了过于简单的密码（比如“123456”）。虽然有密码策略限制，但总有漏网之鱼。这时，强制修改并配合更严格的密码策略，是提升整体安全性的有效手段。

我个人认为，强制改密码不应该成为常态，但作为安全工具箱里的一项，它的存在是绝对必要的。关键在于如何平衡安全性和用户体验，提前沟通、解释原因，能有效减少用户的抵触情绪。

chage

命令，不仅仅是“改密码日期”那么简单

chage

命令的强大之处远不止

chage -d 0

这么简单。它实际上是管理Linux用户密码老化策略的核心工具。我经常用它来查看或调整用户的密码策略，这在审计和安全管理中非常有用。

你可以用

chage -l [用户名]

来查看一个用户当前的密码老化信息。比如：

chage -l john_doe

输出会告诉你密码上次修改时间、密码过期日期、警告天数等等，一目了然。

更进一步，

chage

还能帮你实现更精细的密码策略：

• -M [天数]

  ：设置密码的最大有效期。比如

  chage -M 90 john_doe

  意味着

  john_doe

  的密码每90天必须修改一次。这对于强制定期更换密码非常有用。

• -M [天数]

  ：设置密码的最小有效期。比如

  chage -m 7 john_doe

  表示

  john_doe

  即使改了密码，也必须等待至少7天才能再次修改。这可以防止用户立即改回旧密码或过于频繁地更改。

• -W [天数]

  ：设置密码过期前的警告天数。

  chage -W 7 john_doe

  会让系统在密码过期前7天开始提醒用户。

• -I [天数]

  ：设置密码过期后账户的非活动天数。如果密码过期后用户在指定天数内没有登录并修改密码，账户就会被锁定。

• -E [日期]

  ：设置账户的过期日期。这和密码过期不同，是整个账户的生命周期。比如

  chage -E 2025-12-31 john_doe

  会让

  john_doe

  的账户在2025年底自动失效。

这些参数组合起来，就能构建一个非常完善的密码管理策略。我个人觉得，理解这些参数比单纯记住

-d 0

更重要，因为它们能帮助你从根本上提升系统的安全性，而不仅仅是应对一时之需。不过，话说回来，设计一套合理的密码策略是门学问，太松了不安全，太紧了用户怨声载道，找到那个平衡点，需要经验和对用户行为的洞察。

批量操作：当不止一个用户需要“改头换面”时

当你的系统上有几十个甚至上百个用户需要同时强制修改密码时，手动一个一个

chage -d 0

显然是不现实的。这时候，脚本的力量就体现出来了。我通常会结合

awk

或

grep

来获取用户列表，然后在一个循环里执行

chage

命令。

一个常见的场景是，你可能想对所有普通用户（UID通常大于1000）执行这个操作，但排除掉系统账户。这里有一个简单的Bash脚本示例：

#!/bin/bash

# 定义要排除的系统用户或特定用户
EXCLUDE_USERS=("root" "daemon" "bin" "sys" "lp" "www-data" "nobody" "other_admin_user")

# 获取所有普通用户（UID >= 1000），并过滤掉排除列表中的用户
# 注意：UID范围可能因发行版和配置而异，请根据实际情况调整
for user in $(awk -F: '$3 >= 1000 {print $1}' /etc/passwd); do
    # 检查用户是否在排除列表中
    EXCLUDE=false
    for exclude_user in "${EXCLUDE_USERS[@]}"; do
        if [[ "$user" == "$exclude_user" ]]; then
            EXCLUDE=true
            break
        fi
    done

    if ! $EXCLUDE; then
        echo "正在强制用户 $user 下次登录修改密码..."
        sudo chage -d 0 "$user"
        if [ $? -eq 0 ]; then
            echo "用户 $user 处理成功。"
        else
            echo "用户 $user 处理失败，请检查权限或用户是否存在。"
        fi
    fi
done

echo "所有指定用户处理完毕。"

这段脚本会遍历

/etc/passwd

文件，找出UID大于等于1000的用户，并跳过预设的系统用户列表。然后，对每个符合条件的用户执行

chage -d 0

。

在执行这种批量操作之前，有几点我个人觉得非常关键：

1. 测试是王道： 永远不要在生产环境直接跑一个你没测试过的脚本。先在一个测试用户或非关键用户上跑一遍，确保它按预期工作。
2. 沟通先行： 如果你打算对大量用户执行此操作，务必提前通知用户，解释原因，并提供必要的帮助。否则，你可能会接到大量的支持电话。
3. 权限管理： 执行

   chage

   命令通常需要root权限，所以脚本中使用了

   sudo

   。确保执行脚本的用户有相应的sudo权限。
4. 备份思维： 虽然

   chage -d 0

   相对安全，但任何批量操作都有潜在风险。在执行前，考虑是否有必要对

   /etc/shadow

   文件进行备份，以防万一。

批量操作能极大地提高效率，但同时也放大了潜在的错误影响。所以，谨慎、测试和沟通，这些是我的“三板斧”。