/etc/login.defs 配置用户管理默认行为，定义密码策略（PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN、PASS_WARN_AGE）、用户和组ID范围（UID_MIN、UID_MAX、GID_MIN、GID_MAX）、家目录创建（CREATE_HOME）、私有组启用（USERGROUPS_ENAB）、密码加密方式（ENCRYPT_METHOD）、邮箱路径（MAIL_DIR）、登录失败记录（FAILLOG_ENAB、LOG_UNKFAIL_ENAB）、特权命令日志（SYSLOG_SU_ENAB、SYSLOG_SG_ENAB）及TTY权限（TTY_PERM、TTY_GROUP），协同PAM与系统文件实现账户生命周期管理。

Linux 系统中的 /etc/login.defs 文件是用户账户管理和登录过程的重要配置文件，它定义了与用户创建、密码策略、权限控制等相关的默认行为。这个文件主要用于控制 useradd、passwd、login 等命令的行为，尤其在新建用户时起关键作用。

PASS_MAX_DAYS - 密码最大有效期

设置用户密码的最长使用天数，超过该期限后必须修改密码。

• 建议值：60～90 天以增强安全性
• 设为 -1 或 99999 表示永不过期（不推荐用于生产环境）

PASS_MIN_DAYS - 密码最小修改间隔

限制用户两次修改密码之间的最短时间，防止用户频繁更改以绕过历史记录。

• 设为 0 允许随时修改
• 设为 7 表示至少7天后才能改密码

PASS_MIN_LEN - 密码最小长度

定义密码的最小字符数要求。

• 注意：实际强度还受 PAM 模块（如 pam_pwquality）影响
• 建议设置为 8 或更高

PASS_WARN_AGE - 密码过期前警告天数

在密码即将到期前多少天开始提醒用户。

• 设为 7 表示提前一周提示
• 设为 0 则不提醒

UID_MIN 和 UID_MAX - 普通用户ID范围

指定使用 useradd 创建普通用户时分配的 UID 范围。

• 系统账户通常使用 1～999 的 UID
• 新用户从 UID_MIN 开始分配，避免与系统用户冲突

GID_MIN 和 GID_MAX - 普通组ID范围

与 UID 类似，用于控制组 ID 的自动分配范围。

• 确保用户组不会占用系统组的 GID

CREATE_HOME - 是否自动创建主目录

控制 useradd 是否默认为新用户创建家目录。

• yes：自动创建 /home/username
• no：不创建，用户登录可能出问题

USERGROUPS_ENAB - 是否为每个用户创建同名私有组

启用后，useradd 会为新用户创建一个与其用户名相同的组作为主组。

• 现代 Linux 发行版普遍启用此选项
• 有助于简化文件权限管理

ENCRYPT_METHOD - 密码加密方式

定义 shadow 密码使用的加密算法。

• 可选值：DES、MD5、SHA256、SHA512
• SHA512 更安全，推荐使用

MAIL_DIR - 用户邮箱目录

设置用户邮件 spool 文件的存储路径。

• 大多数系统使用默认路径
• 若未安装邮件服务，此配置可忽略

FAILLOG_ENAB - 是否启用失败登录记录

是否记录用户登录失败信息到 /var/log/faillog。

• 开启有助于安全审计和异常检测

LOG_UNKFAIL_ENAB - 记录未知用户的登录失败

即使用户名不存在，也记录失败尝试。

• 开启可能暴露有效用户名信息，需权衡安全与隐私

SYSLOG_SU_ENAB 和 SYSLOG_SG_ENAB - su 和 sg 日志记录

控制是否将 su 和 sg 命令的使用记录写入 syslog。

• 建议开启，便于追踪特权操作

TTY_PERM 和 TTY_GROUP - TTY 设备权限

定义登录终端设备的访问权限和所属组。

• 0600 表示仅属主可读写，提高安全性
• tty 组可用于授权特定用户访问串口或终端

基本上就这些。/etc/login.defs 不直接控制系统所有安全策略，但它与 PAM、/etc/passwd、/etc/shadow 配合工作，是用户生命周期管理的基础配置。修改前建议备份原文件，并理解每项参数的实际影响。

# linux  # ai  # 配置文件  # 邮箱  # mail  # var  # 算法  # 加密算法  # 设为  # 用户登录  # 普通用户  # 修改密码  # 终端设备  # 推荐使用  # 两次  # 不存在  # 可选  # 历史记录 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： Laravel如何使用Guzzle调用外部接口_Laravel发起HTTP请求与JSON数据解析【详解】  PHP怎么接收前端传的文件路径_处理文件路径参数接收方法【汇总】  JavaScript Ajax实现异步通信  Laravel如何实现多语言支持_Laravel本地化与国际化(i18n)配置教程  品牌网站制作公司有哪些,买正品品牌一般去哪个网站买？  浏览器如何快速切换搜索引擎_在地址栏使用不同搜索引擎【搜索】  Linux系统运维自动化项目教程_Ansible批量管理实战  Laravel怎么连接多个数据库_Laravel多数据库连接配置  C#如何调用原生C++ COM对象详解  如何用AI帮你把自己的生活经历写成一个有趣的故事？  html5源代码发行怎么设置权限_访问权限控制方法与实践【指南】  Laravel如何处理CORS跨域请求？（配置示例）  🚀拖拽式CMS建站能否实现高效与个性化并存？  Laravel如何处理表单验证？（Requests代码示例）  简历在线制作网站免费版,如何创建个人简历？  深入理解Android中的xmlns:tools属性  香港服务器租用费用高吗？如何避免常见误区？  QQ浏览器网页版登录入口 个人中心在线进入  作用域操作符会触发自动加载吗_php类自动加载机制与::调用【教程】  Java垃圾回收器的方法和原理总结  如何在浏览器中启用Flash_2025年继续使用Flash Player的方法【过时】  Edge浏览器提示“由你的组织管理”怎么解决_去除浏览器托管提示【修复】  如何用IIS7快速搭建并优化网站站点？  英语简历制作免费网站推荐,如何将简历翻译成英文？  如何用ChatGPT准备面试 模拟面试问答与职场话术练习教程  Laravel如何处理CORS跨域问题_Laravel项目CORS配置与解决方案  如何在IIS管理器中快速创建并配置网站？  如何快速上传建站程序避免常见错误？  Laravel怎么进行数据库回滚_Laravel Migration数据库版本控制与回滚操作  Python结构化数据采集_字段抽取解析【教程】  Laravel怎么使用Markdown渲染文档_Laravel将Markdown内容转HTML页面展示【实战】  Laravel Telescope怎么调试_使用Laravel Telescope进行应用监控与调试  JavaScript模板引擎Template.js使用详解  Laravel集合Collection怎么用_Laravel集合常用函数详解  Laravel如何使用Facades（门面）及其工作原理_Laravel门面模式与底层机制  Google浏览器为什么这么卡 Google浏览器提速优化设置步骤【方法】  米侠浏览器网页背景异常怎么办 米侠显示修复  百度浏览器网页无法复制文字怎么办 百度浏览器复制修复  zabbix利用python脚本发送报警邮件的方法  Laravel怎么在Controller之外的地方验证数据  Windows10电脑怎么查看硬盘通电时间_Win10使用工具检测磁盘健康  微信h5制作网站有哪些,免费微信H5页面制作工具？  新三国志曹操传主线渭水交兵攻略  Laravel如何使用Seeder填充数据_Laravel模型工厂Factory批量生成测试数据【方法】  深圳网站制作平台,深圳市做网站好的公司有哪些？  Laravel与Inertia.js怎么结合_使用Laravel和Inertia构建现代单页应用  JS中对数组元素进行增删改移的方法总结  Laravel用户认证怎么做_Laravel Breeze脚手架快速实现登录注册功能  如何正确选择百度移动适配建站域名？  使用C语言编写圣诞表白程序