如何防止使用者延長有效登錄視窗

一直在為 RedHat 盒子製定一些安全強化程序，我想知道是否可以防止使用者在密碼過期後更改密碼。

對於我們的一位客戶，要求他們只能通過臨時帳戶訪問伺服器，這意味著一旦創建使用者憑據，密碼必須在 4 小時內過期，一旦密碼過期，只有 root 才能更改它.

對於第一個要求（密碼在 4 小時後過期），我想可以通過設置passwordMaxAge = 144000來實現。但是我仍然找不到防止使用者更改過期密碼的方法，而無需關閉密碼過期。

任何人都可以幫忙嗎？

通常，密碼過期用於強制使用者更改密碼。聽起來您想要做的是鎖定帳戶，從而阻止所有登錄。

我建議您做的是，當您創建帳戶時，還要設置一個 at 作業，該作業將在四個小時後鎖定該帳戶。

例如：

useradd temp8143
echo chage -E 0 temp8143 | at now + 4 hours

（chage -E預計到期日期以天為單位，因此我們使用 at 工作解決此問題。）

如果您從 passwd 命令中刪除 setuid 位，則只有 root 可以使用它。這也將禁止使用者在密碼過期之前更改密碼——否則這可能是使用者將帳戶再延長四個小時的一種方式。

[jenny@finch ~] sudo chmod -s /usr/bin/passwd
[jenny@finch ~]$ passwd
Changing password for user jenny.
Changing password for jenny.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: Authentication token manipulation error

Root 仍然可以更改任何密碼：

[jenny@finch ~]$ sudo passwd jenny
Changing password for user jenny.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

引用自：https://serverfault.com/questions/676431