linux 密码过期策略,Linux账户密码过期安全策略设置

Linux账户密码过期安全策略设置、Linux账号密码过期会导致crontab作业不能执行

最近因用oracle用户执行shell脚本做定时备份脚本任务，在执行crontab命令有如下报错：

$ crontab -l

You (oracle) are not allowed to access to (crontab) because of pam configuration.

在网上找了些资料解决方式说明如下：

在Linux系统管理中，有时候需要设置账号密码复杂度(长度)、密码过期策略等，这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制，里面的参数主要有下面一些：

/etc/login.defs:

# cat /etc/login.defs

#

# Please note that the parameters in this configuration file control the

# behavior of the tools from the shadow-utils component. None of these

# tools uses the PAM mechanism, and the utilities that use PAM (such as the

# passwd command) should therefore be configured elsewhere. Refer to

# /etc/pam.d/system-auth for more information.

#

# *REQUIRED*

#   Directory where mailboxes reside, _or_ name of file, relative to the

#   home directory.  If you _do_ define both, MAIL_DIR takes precedence.

#   QMAIL_DIR is for Qmail

#

#QMAIL_DIRMaildir

MAIL_DIR/var/spool/mail     #新建用户邮件目录

#MAIL_FILE.mail

# Password aging controls:

#

#PASS_MAX_DAYSMaximum number of days a password may be used.

#PASS_MIN_DAYSMinimum number of days allowed between password changes.

#PASS_MIN_LENMinimum acceptable password length.

#PASS_WARN_AGENumber of days warning given before a password expires.

#

PASS_MAX_DAYS30    #密码最大有效期，此处参数PASS_MAX_DAYS为30，表示60天后，密码会过期。99999表示永不过期。

PASS_MIN_DAYS7      #两次修改密码的最小间隔时间，0表示可以随时修改账号密码

PASS_MIN_LEN8         #密码最小长度，对于root无效

PASS_WARN_AGE7     #密码过期前多少天开始提示(过期7天开始提醒)

#

# Min/max values for automatic uid selection in useradd

#

UID_MIN                  1000        #用户ID的最小值(新建用户uid从1000开始)

UID_MAX                 60000       #用户ID的最大值(最大uid为60000)

# System accounts

SYS_UID_MIN               201

SYS_UID_MAX               999

#

# Min/max values for automatic gid selection in groupadd

#

GID_MIN                  1000        #组ID最小值(新建用户GID从1000开始)

GID_MAX                 60000      #组ID最大值(最大为60000)

# System accounts

SYS_GID_MIN               201

SYS_GID_MAX               999

#

# If defined, this command is run when removing a user.

# It should remove any at/cron/print jobs etc. owned by

# the user to be removed (passed as the first argument).

#

#USERDEL_CMD/usr/sbin/userdel_local

USERDEL_CMD        #默认注释状态，如果定义了该变量，表示当删除一个user时，应删除/打印/ cron的工作等所拥有的用户被删除(作为第一个参数传递)。

#

# If useradd should create home directories for users by default

# On RH systems, we do. This option is overridden with the -m flag on

# useradd command line.

#

CREATE_HOMEyes

CREATE_HOME        #表示是否创建用户home目录(要不要创建家目录)。

# The permission mask is initialized to this value. If not specified,

# the permission mask will be initialized to 022.

UMASK           077

UMASK    #权限掩码初始化值(家目录权限)

# This enables userdel to remove user groups if no members exist.

#

USERGROUPS_ENAB yes

USERGROUPS_ENAB   #该参数启用，表示userdel删除用户时，如果该用户用户组如果没有成员存在，则会删除该用户组(删除用户的时候是否同时删除用户组)

# Use SHA512 to encrypt password.

ENCRYPT_METHOD SHA512     #密码加密规则

修改了/etc/login.defs下参数时，会立即生效，但是它只对修改后创建的用户生效。例如修改了PASS_MAX_DAYS参数等后，我们新建一个用户oracle。

# cat /etc/shadow |grep oracle

oracle:$6$lHwtkVv30/OimAws9fMOG0lTpvrE6vIYGRUQpERYp4yvOLwg6/1EZJF55L81:18397:7:99999:7:::

# cat /etc/passwd |grep oracle

oracle:x:1000:1000::/home/oracle:/bin/bash

因为CREATE_HOME为yes，所以创建用户test后，就会默认在/home目录下创建oracle目录，这个可以在添加用户的规则文件/etc/default/useradd里面查看或修改

# cat /etc/default/useradd

# useradd defaults file

GROUP=100

HOME=/home     #把用户的主目录建在/home中

INACTIVE=-1    #是否启用帐号过期停权，-1表示不启用

EXPIRE=        #帐号终止日期，不设置表示不启用

SHELL=/bin/bash    #所用SHELL的类型

SKEL=/etc/skel        #默认添加用户的目录默认文件存放位置；也就是说，当我们用adduser添加用户时，用户家目录下的文件，都是从这个目录中复制过去的

CREATE_MAIL_SPOOL=yes

如果此时，假如用户oracle有特殊需求，要求这个账号的密码永不过期，此时就可以使用chage命令来处理(关于chage命令，此处不做展开)

chage -M 99999 oracle