Centos
當使用者沒有密碼時,有沒有辦法防止密碼過期?
好吧,我們都關心安全,所以使用者應該定期更改他們的密碼(誰說密碼就像內衣?)。
在 redhat 和 centos(5.x 和 6.x)上,可以讓每個真實使用者密碼在 45 天后過期,並在 7 天前警告他們。
/etc/shadow 條目看起來像:
testuser:$6$m8VQ7BWU$b3UBovxC5b9p2UxLxyT0QKKgG1RoOHoap2CV7HviDJ03AUvcFTqB.yiV4Dn7Rj6LgCBsJ1.obQpaLVCx5.Sx90:15588:1:45:7:::它工作得很好,大多數使用者經常更改他們的密碼。
一些使用者發現不使用任何密碼而是使用 ssh 公鑰很方便(我想鼓勵他們)。
然後在 45 天后他們無法登錄,因為他們忘記了密碼並被要求更改密碼。
當且僅當密碼被禁用時,有沒有辦法防止密碼過期?
/etc/shadow 中的設置
testuser:!!:15588:1:45:7:::無效:要求 testuser 在 45 天后更改密碼。當然,將密碼有效期設置為 99999 天是可行的,但是:
- 它需要額外的工作。
- 安全審計員可能不高興。
是否有一個系統範圍的參數會提示使用者僅在他真的有密碼時才更改過期密碼?
如果使用者不記得他們的密碼,那肯定是因為他們不必使用密碼。我建議使用 LDAP 之類的集中式身份驗證系統,以便每個使用者只有一個密碼,讓他可以訪問所有內容。
這解決了幾個問題:
- 您不必擔心管理每台主機上的個人密碼
- 使用者實際上會記住他們的密碼,因為他們需要它們
- 您可以在一個中心位置(LDAP 目錄)管理密碼策略,並在需要時讓使用者在那裡更改密碼(想想幾天前警告他們到期的電子郵件,等等……)
- 您有集中的使用者管理,在需要創建新帳戶或需要禁用舊帳戶時節省每個人的時間(誰從未聽說過“在所有系統上盡快禁用該使用者的帳戶”?)