Linux chage命令深度解析

命令概述

chage (change age) 是Linux系统中用于管理用户密码过期信息的实用工具，属于shadow-utils软件包的一部分。它允许系统管理员精细控制用户密码的生命周期策略。

核心功能

1. 密码过期管理：

   • 设置密码的最长使用期限
   • 设置密码最短使用期限
   • 设置密码过期前的警告天数

2. 账户有效期控制：

   • 设置账户的绝对过期日期
   • 设置账户从创建到失效的天数

3. 密码策略信息查询：

   • 显示用户当前的密码策略设置
   • 查看密码最后修改日期

工作原理

chage命令通过修改/etc/shadow文件中的以下字段来实现其功能：

username:password:last_change:min_days:max_days:warn_days:inactive_days:expire_date:reserved

其中各字段对应chage的选项：

• last_change：密码最后修改日期（-d选项）
• min_days：密码最短使用天数（-m选项）
• max_days：密码最长使用天数（-M选项）
• warn_days：密码过期前警告天数（-W选项）
• inactive_days：密码过期后账户锁定前的宽限天数（-I选项）
• expire_date：账户绝对过期日期（-E选项）

常用命令示例

1. 查看用户密码策略信息：

   chage -l username
   

2. 设置密码最长使用期限为90天：

   chage -M 90 username
   

3. 设置密码最短使用期限为7天（防止频繁更改）：

   chage -m 7 username
   

4. 设置密码过期前7天开始警告用户：

   chage -W 7 username
   

5. 设置账户在2023-12-31过期：

   chage -E 2023-12-31 username
   

6. 设置密码过期后账户立即失效（无宽限期）：

   chage -I 0 username
   

7. 强制用户下次登录时更改密码：

   chage -d 0 username
   

高级用法

1. 批量修改用户密码策略：

   for user in user1 user2 user3; do chage -M 60 "$user"; done
   

2. 结合passwd命令设置初始密码并强制更改：

   echo "username:newpassword" | chpasswd && chage -d 0 username
   

3. 使用天数而非日期设置账户过期：

   chage -E $(date -d "+180 days" +%Y-%m-%d) username
   

安全最佳实践

1. 对于特权账户（如root），设置较短的密码有效期（30-90天）
2. 设置合理的密码最短使用期限（如7天）防止用户频繁循环使用旧密码
3. 确保密码过期警告时间足够（通常7天）
4. 对于临时账户，设置明确的过期日期
5. 定期审计密码策略：awk -F: '$5 > 90 {print $1}' /etc/shadow

注意事项

1. chage需要root权限才能修改其他用户的设置
2. 修改会立即生效，无需重启或重新登录
3. 日期格式通常为YYYY-MM-DD或自1970-01-01的天数
4. 设置为0或-1通常表示禁用相应限制
5. 某些选项（如-E）在不同发行版中可能有轻微差异

通过合理使用chage命令，系统管理员可以有效地实施密码生命周期管理策略，增强系统的整体安全性。