Смена пароля каждые N дней и управление сложностью пароля

И логин через tty, и все остальные способы авторизации используют PAM, по идее работать должно всюду одинаково. Вопрос в том, есть ли в login manager поддержка смены пароля - это только гуглить или проверять

По сложности пароля «<your_linux_distr> PAM password complexity», для убунты/дебиана это будет где-то в районе /etc/pam.d/common-passwd

Хранить предыдущие пароли опять же, наверное как-то можно через PAM, тут уже не подскажу. Смысл есть - чтобы такие же не ставили

Проблема критериев сложности решена: http://packages.debian.org/ru/wheezy/amd64/libpam-passwdqc

Что насчёт журнала (почти уверен, что такого нет, ибо ущербно by design) и подходящего логин менеджера?

Там xfce и ставить тяжёлый логин менеджер не хочется.

Спасибо!

Погуглил - вроде умеют gdm и lightdm, второй полегче. Но надо проверять

Ну, чтобы design не был так страшен, можно хранить журнал хешей.

Если помогло - пометь топик как решённый, вдруг кому ещё надо

Также требуется вести журнал паролей. Последнее — какая-то дебильная фигня

Это такая фигня, которая не позволяет использовать повторно один из прошлых паролей, а вовсе не документирует его, как вы могли подумать.

К каким сервисам используются пароли, для которых требуют ввести политику?

Как опишу тут решение, так и помечу.

автоматизированное рабочее место диспетчера

У меня в организации есть AD (samba4), линуксовые тачки введены в домен, авторизация работает через pam_krb5.so, в качестве dm используются gdm или gdm3.
Требования к паролю устанавливаются через AD, все работает из коробки(password complexity, запоминание последних паролей, смена пароля пользователем по истечению срока действия).

Я очень редко задаю вопросы в плане администрирования, ведь есть гугл. Но по этому вопросу что-то ничего выискать не удалось (ну кроме chage).

Посмотри тут