在Linux中设置用户密码策略，通常涉及两个主要的配置文件：/etc/login.defs 和 /etc/pam.d/system-auth。以下是如何设置这些策略的步骤：

设置密码有效期和最小长度：

编辑 /etc/login.defs 文件，可以设置密码的最小长度、密码过期时间、密码历史等。例如：

PASS_MAX_DAYS   90    # 密码最大有效期，此处参数PASS_MAX_DAYS为90，表示90天后，密码会过期。PASS_MIN_DAYS   0     # 两次修改密码的最小间隔时间，0表示可以随时修改账号密码。PASS_MIN_LEN    8     # 密码最小长度，对于root无效。PASS_WARN_AGE   7     # 密码过期前多少天开始提示。

这些设置会立即生效，但只对修改后创建的用户生效 。

设置密码复杂度：

编辑 /etc/pam.d/system-auth 文件，可以设置密码复杂度规则。例如，设置密码必须包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符，并且密码长度至少为8：

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

其中，retry=3 定义登录/修改密码失败时可以重试的次数；minlen=8 定义用户密码的最小长度为8位；lcredit=-1、ucredit=-1、dcredit=-1 和 ocredit=-1 分别定义密码中最少包含的小写字母、大写字母、数字和特殊字符的数量 。

设置登录失败锁定策略：

编辑 /etc/pam.d/system-auth 文件，可以设置登录失败后的锁定策略。例如，输错5次密码，账号锁定10分钟：

auth        required      pam_tally2.so onerr=fail deny=5 unlock_time=600 root_unlock_time=600

此项配置只对控制台有效，ssh无效。如果需要对ssh远程有效，则需要修改 /etc/pam.d/sshd 。

设置密码历史策略：

可以在 /etc/pam.d/system-auth 文件中设置密码历史策略，禁止用户使用最近用过的旧密码：

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

这里 remember=5 表示禁止使用最近用过的5个密码 。

注意，修改这些配置文件需要root权限，并且更改只对新创建的用户生效。对于现有用户，需要手动更新其密码策略设置。