Linux /etc/login.defs文件详解

/etc/login.defs 配置用户管理默认行为，定义密码策略（PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE）、用户和组ID范围（UID_MIN、UID_MAX、GID_MIN、GID_MAX）、家目录创建（CREATE_HOME）、私有组启用（USERGROUPS_ENAB）、密码加密方式（ENCRYPT_METHOD）、邮箱路径（MaiL_DIR）、登录失败记录（FAILLOG_ENAB、LOG_UNKFAIL_ENAB）、特权命令日志（SYSLOG_SU_ENAB、SYSLOG_SG_ENAB）及TTY权限（TTY_PERM、TTY_GROUP），协同PAM与系统文件实现账户生命周期管理。

linux 系统中的 /etc/login.defs 文件是用户账户管理和登录过程的重要配置文件，它定义了与用户创建、密码策略、权限控制等相关的默认行为。这个文件主要用于控制 useradd、passwd、login 等命令的行为，尤其在新建用户时起关键作用。

PASS_MAX_DAYS – 密码最大有效期

设置用户密码的最长使用天数，超过该期限后必须修改密码。

PASS_MAX_DAYS 99999

• 建议值：60～90 天以增强安全性
• 设为 -1 或 99999 表示永不过期（不推荐用于生产环境）

PASS_MIN_DAYS – 密码最小修改间隔

限制用户两次修改密码之间的最短时间，防止用户频繁更改以绕过历史记录。

PASS_MIN_DAYS 0

• 设为 0 允许随时修改
• 设为 7 表示至少7天后才能改密码

PASS_MIN_LEN – 密码最小长度

定义密码的最小字符数要求。

PASS_MIN_LEN 5

• 注意：实际强度还受 PAM 模块（如 pam_pwquality）影响
• 建议设置为 8 或更高

PASS_WARN_AGE – 密码过期前警告天数

在密码即将到期前多少天开始提醒用户。

PASS_WARN_AGE 7

• 设为 7 表示提前一周提示
• 设为 0 则不提醒

UID_MIN 和 UID_MAX – 普通用户ID范围

指定使用 useradd 创建普通用户时分配的 UID 范围。

UID_MIN 1000
UID_MAX 60000

• 系统账户通常使用 1～999 的 UID
• 新用户从 UID_MIN 开始分配，避免与系统用户冲突

GID_MIN 和 GID_MAX – 普通组ID范围

与 UID 类似，用于控制组 ID 的自动分配范围。

GID_MIN 1000
GID_MAX 60000

• 确保用户组不会占用系统组的 GID

CREATE_HOME – 是否自动创建主目录

控制 useradd 是否默认为新用户创建家目录。

CREATE_HOME yes

• yes：自动创建 /home/username
• no：不创建，用户登录可能出问题

USERGROUPS_ENAB – 是否为每个用户创建同名私有组

启用后，useradd 会为新用户创建一个与其用户名相同的组作为主组。

巧文书

巧文书是一款AI写标书、AI写方案的产品。通过自研的先进AI大模型，精准解析招标文件，智能生成投标内容。

61

查看详情

USERGROUPS_ENAB yes

• 现代 Linux 发行版普遍启用此选项
• 有助于简化文件权限管理

ENCRYPT_METHOD – 密码加密方式

定义 shadow 密码使用的加密算法。

ENCRYPT_METHOD SHA512

• 可选值：DES、MD5、SHA256、SHA512
• SHA512 更安全，推荐使用

mail_DIR – 用户邮箱目录

设置用户邮件 spool 文件的存储路径。

MAIL_DIR /var/spool/mail

• 大多数系统使用默认路径
• 若未安装邮件服务，此配置可忽略

FAILLOG_ENAB – 是否启用失败登录记录

是否记录用户登录失败信息到 /var/log/faillog。

FAILLOG_ENAB yes

• 开启有助于安全审计和异常检测

LOG_UNKFAIL_ENAB – 记录未知用户的登录失败

即使用户名不存在，也记录失败尝试。

LOG_UNKFAIL_ENAB no

• 开启可能暴露有效用户名信息，需权衡安全与隐私

SYSLOG_SU_ENAB 和 SYSLOG_SG_ENAB – su 和 sg 日志记录

控制是否将 su 和 sg 命令的使用记录写入 syslog。

SYSLOG_SU_ENAB yes
SYSLOG_SG_ENAB yes

• 建议开启，便于追踪特权操作

TTY_PERM 和 TTY_GROUP – TTY 设备权限

定义登录终端设备的访问权限和所属组。

TTY_PERM 0600
TTY_GROUP tty

• 0600 表示仅属主可读写，提高安全性
• tty 组可用于授权特定用户访问串口或终端

基本上就这些。/etc/login.defs 不直接控制系统所有安全策略，但它与 PAM、/etc/passwd、/etc/shadow 配合工作，是用户生命周期管理的基础配置。修改前建议备份原文件，并理解每项参数的实际影响。