当你需要确保某个用户（比如新创建的用户、密码已泄露的用户，或是安全审计要求下的用户）在下次登录系统时立即更改密码时，Linux 系统提供了直接的内置命令来完成这个任务。这不仅是系统管理中的常规操作，也是提升账户安全的重要措施。

核心原理与命令：利用`chage`与`passwd`

Linux 用户密码的有效期和策略信息存储在 `/etc/shadow` 文件中。强制用户下次登录修改密码，本质上是通过修改该用户在此文件中的相关字段来实现的。有两个最常用、最标准的命令可以完成这个操作：`chage` 和 `passwd`。

方法一：使用 `chage` 命令（推荐）

`chage` 是 “change age” 的缩写，是专门用于修改用户密码过期信息的工具。其 `-d` 或 `--lastday` 参数是关键。将用户 alice 的下次登录设置为必须更改密码

sudo chage -d 0 alice

这里的 `-d 0` 表示将“密码最后一次修改的日期”设置为 0。在 `chage` 的逻辑中，0 有特殊含义：它代表“1970年1月1日”（UNIX纪元起点），或者更实际地说，它代表一个过去的、非法的日期。系统一旦检测到用户的密码最后修改日期是一个过去极久的时间（或0），就会在用户下次成功登录后强制要求立即更改密码。执行命令后，你可以通过 `chage -l` 来验证设置。

sudo chage -l alice

在输出中，你会看到类似 `Last password change : Jan 01, 1970` 以及 `Password expires : never` 的信息。这个矛盾的组合（密码在1970年修改，却永不过期）正是触发强制更改的“开关”。

方法二：使用 `passwd` 命令

`passwd` 命令更为人熟知的功能是修改密码，但它有一个 `-e` 或 `--expire` 选项，其效果与 `chage -d 0` 完全相同。强制用户 bob 在下次登录时更改密码

sudo passwd -e bob

此命令同样是通过将 `/etc/shadow` 文件中对应用户的“密码最后修改日期”字段设置为 0 来实现的。它和 `chage -d 0` 在底层是完全等效的操作，你可以根据记忆习惯选择使用。

设置生效与用户体验

当你使用上述任一命令后，设置会立即生效。让我们从用户 `alice` 的角度来看看接下来会发生什么：

1.  用户登录：`alice` 使用她的当前（旧）密码通过SSH或控制台登录系统。

2.  系统提示：登录认证成功后，系统不会直接进入Shell，而是会立即显示一条强制更改密码的信息。对于通过SSH登录，提示通常是：

WARNING: Your password has expired.

You must change your password now and login again!

Changing password for alice.

(current) UNIX password:

3.  强制更改流程：

系统首先要求用户输入当前的密码（`(current) UNIX password:`）进行二次验证。

验证通过后，提示输入新密码（`Enter new UNIX password:`）。

要求再次输入新密码（`Retype new UNIX password:`）进行确认。

4.  完成与重新登录：密码更改成功后，系统通常会显示 `passwd: password updated successfully`，然后自动断开当前连接。用户 `alice` 必须使用刚刚设置的新密码重新登录，才能正常访问系统。

重要提示：这个过程仅适用于使用密码认证登录的用户。如果用户配置了SSH密钥认证且禁用了密码登录，那么系统无法在密钥认证环节触发强制改密流程。对于这类用户，管理员可能需要先临时启用密码登录，或通过其他方式通知。

进阶管理与批量操作

1. 结合密码策略一并设置

单纯强制改密有时还不够，你通常希望用户设置一个强健的新密码。可以利用 `chage` 的其他参数，在强制改密的同时设置未来的密码策略。

强制用户 charlie 下次改密，并设置新密码的有效期为90天，提前7天警告

sudo chage -d 0 -M 90 -W 7 charlie

*   `-M 90`: 密码有效最长时间为90天。

*   `-W 7`: 密码过期前7天开始向用户发送警告信息。

2. 批量操作用户

如果你需要对一组用户（例如新入职的一批员工账户）进行统一设置，可以结合Shell循环。

假设有一个用户名列表文件 new_users.txt

for user in $(cat new_users.txt); do

sudo chage -d 0 "$user"

echo "已设置用户 $user 下次登录必须更改密码。"

done

3. 如何“取消”强制更改？

如果误操作，或者用户反馈在完成更改前遇到问题，你需要撤销“强制更改”的状态。方法是使用 `chage` 将“最后修改日期”设置为今天。

将用户 alice 的密码最后修改日期设为今天，解除强制状态

sudo chage -d $(date +%Y-%m-%d) alice

或者更简单地，用 `passwd` 命令手动为用户改一次密码（以管理员身份），这个操作会自动将最后修改日期更新为当前日期。

sudo passwd alice

按照提示输入两次新密码即可

底层机制：理解 `/etc/shadow` 文件

所有上述命令的修改最终都体现在 `/etc/shadow` 文件中的对应行。了解其格式能让你更透彻地理解原理。

alice:$y$j9T$FReB...3hG0:0:99999:7:::

各字段由冒号分隔，其中第三个字段（本例中的 `0`）就是“密码最后修改日期”，它表示从1970年1月1日到上次修改密码之日的天数。`0` 就代表第0天。

总结与最佳实践

首选命令：对于单个用户，使用 `sudo chage -d 0 <username>` 或 `sudo passwd -e <username>`。`chage` 命令功能更专一，推荐使用。

流程本质：该操作是设置一个“过去的密码修改日期”触发器，而非让密码“立即过期”。用户仍需用旧密码登录来触发更改流程。

适用场景：新用户初始账户交付；怀疑或确认某用户密码可能已泄露；定期安全策略要求（如特权账户每季度强制改密）；用户忘记密码，管理员重置后，应强制用户登录时立即设为自己知道的新密码。

沟通与记录：在执行此操作前后，建议通过邮件或其他方式通知用户，并说明操作原因和安全要求。同时，在审计日志中记录此类管理操作。

结合其他策略：强制改密应作为整体账户安全策略的一部分，与设置密码复杂度要求（通过 `/etc/pam.d/passwd` 或 `pam_pwquality` 模块）、启用双因素认证等措施结合使用，才能构建更稳固的防线。

通过掌握这个简单却至关重要的命令，你可以有效地管理用户密码生命周期，及时响应安全事件，从而提升整个Linux系统的账户安全管理水平。