Pracowałem nad niektórymi procedurami zwiększającymi bezpieczeństwo dla skrzynki RedHat i chciałem wiedzieć, czy będzie możliwe zapobieżenie zmianie hasła przez użytkownika po jego wygaśnięciu.
W przypadku jednego z naszych klientów wymaga się, aby mieli oni dostęp do serwera tylko za pośrednictwem kont tymczasowych, co oznacza, że po utworzeniu poświadczeń użytkownika hasło musi wygasnąć w ciągu 4 godzin, a po wygaśnięciu hasła tylko root może go zmienić. .
Jeśli chodzi o pierwsze wymaganie (hasła wygasają po 4 godzinach), myślę, że można to osiągnąć poprzez ustawienie passwordMaxAge = 144000 . Ale nadal nie mogłem znaleźć sposobu, aby uniemożliwić użytkownikom zmianę wygasłych haseł bez wyłączenia ich wygasania.
Czy ktoś może pomóc?
Odpowiedzi:
Zasadniczo wygasanie hasła służy do zmuszenia użytkowników do zmiany haseł. Wygląda na to, że chcesz zablokować konto, co uniemożliwia logowanie.
Sugeruję, abyś zamiast tego założył konto w miejscu pracy, które zablokuje konto po czterech godzinach.
Na przykład:
(
chage -E
oczekuje się, że daty ważności będą podawane w dniach, więc obejdziemy to w miejscu pracy).źródło
at
Teduserdel
, co ma tę zaletę, że porządkuje wszystkie konta tymczasowe, aby nie kręciły się wiecznie.passwd -l temp813
osiągnę to samo, cochage -E 0 temp8143
.passwd -l
nie zapobiegnie na przykład logowaniu się za pomocą klucza ssh lub logowaniu na podstawie linii papilarnychchage -E 0
.Jeśli usuniesz bit setuid z polecenia passwd, tylko root będzie mógł go użyć. Uniemożliwi to również użytkownikom zmianę hasła przed jego wygaśnięciem - co w innym przypadku może być sposobem na przedłużenie konta o kolejne cztery godziny.
Root nadal może zmienić dowolne hasło:
źródło
passwd
zostanie kiedykolwiek zaktualizowane przez system.