Security

如何防止使用者延長有效登錄視窗

  • March 18, 2015

一直在為 RedHat 盒子製定一些安全強化程序,我想知道是否可以防止使用者在密碼過期後更改密碼。

對於我們的一位客戶,要求他們只能通過臨時帳戶訪問伺服器,這意味著一旦創建使用者憑據,密碼必須在 4 小時內過期,一旦密碼過期,只有 root 才能更改它.

對於第一個要求(密碼在 4 小時後過期),我想可以通過設置passwordMaxAge = 144000來實現。但是我仍然找不到防止使用者更改過期密碼的方法,而無需關閉密碼過期。

任何人都可以幫忙嗎?

通常,密碼過期用於強制使用者更改密碼。聽起來您想要做的是鎖定帳戶,從而阻止所有登錄。

我建議您做的是,當您創建帳戶時,還要設置一個 at 作業,該作業將在四個小時後鎖定該帳戶。

例如:

useradd temp8143
echo chage -E 0 temp8143 | at now + 4 hours

chage -E預計到期日期以天為單位,因此我們使用 at 工作解決此問題。)

如果您從 passwd 命令中刪除 setuid 位,則只有 root 可以使用它。這也將禁止使用者在密碼過期之前更改密碼——否則這可能是使用者將帳戶再延長四個小時的一種方式。

[jenny@finch ~] sudo chmod -s /usr/bin/passwd
[jenny@finch ~]$ passwd
Changing password for user jenny.
Changing password for jenny.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: Authentication token manipulation error

Root 仍然可以更改任何密碼:

[jenny@finch ~]$ sudo passwd jenny
Changing password for user jenny.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

引用自:https://serverfault.com/questions/676431