login.defs和shadow文件区别

/etc/login.defs仅针对后新增加的用户有效，对系统中已存在的用户，不产生影响。
详细如下：

加固操作：

#vi /etc/login.defs

PASS_MAX_DAYS   90

PASS_MIN_DAYS  0

PASS_MIN_LEN   8    

PASS_WARN_AGE    10

注意：配置本项目仅对配置后新增加的用户有效，对系统中已存在的用户，不产生影响。

如果需要对单个用户进行口令生存期配置，或对系统已有用户进行有效期限制，应使用passwd命令，参数如下：

-x:口令生存期

-w:口令失效前的告警时间

-i:口令失效后的宽限期

例子：限制username用户口令生存期为90天，提前10天告警，口令生存期过后10天宽限期。

#passwd -x 90 -w 10 -i 10 username

回退操作：

1， 恢复/etc/login.defs原配置

2， 检查哪些用户有密码有效期限制
查看/etc/shadow文件，查看每个用户的表项Username:$1$.s5b86L6$eBg3/CHtyXAl2PYNHiQ3v0:14854:0:90:7:::  --有效期限制
其中第五个域，即为密码有效期，如果此项为空，说明没有限制，否则说明已被限制有效期
Username:$1$.s5b86L6$eBg3/CHtyXAl2PYNHiQ3v0:14854:0::7:::  --无有效期限制

3， 对有密码有效期限制的用户去除有效期限制，去除命令为：
#passwd -x -1 -w -1 -i -1username
(-x -w -i 后面的参数均为数字负一）