一直在研究RedHat框的一些安全强化程序,我想知道是否可以防止用户在密码过期后更改密码。
对于我们的客户之一,要求他们只能通过临时账户访问服务器,这意味着一旦创build了用户凭证,密码必须在4小时内过期,一旦密码过期,只有root可以更改。
对于第一个要求(密码在4小时后过期),我想可以通过设置passwordMaxAge = 144000来实现。 但是我仍然找不到防止更改过期密码的用户的方法,而不必closures密码过期。
谁能帮忙?
通常,密码过期用于强制用户更改密码。 它听起来像你想要做的就是locking帐户,这阻止了所有的login。
我build议你做的是,当你创build帐户时,还设置了一个在四小时后locking帐户的工作。
例如:
useradd temp8143 echo chage -E 0 temp8143 | at now + 4 hours ( chage -E预计到期date将在几天内给出,所以我们在工作中解决这个问题。)
如果您从passwd命令中删除setuid位,则只有root用户才能使用它。 这也将禁止用户在过期之前更改密码 – 否则这可能是用户将帐户延长四个小时的一种方式。
[jenny@finch ~] sudo chmod -s /usr/bin/passwd [jenny@finch ~]$ passwd Changing password for user jenny. Changing password for jenny. (current) UNIX password: New password: Retype new password: passwd: Authentication token manipulation error
Root仍然可以更改任何密码:
[jenny@finch ~]$ sudo passwd jenny Changing password for user jenny. New password: Retype new password: passwd: all authentication tokens updated successfully.