Security
如何防止使用者延長有效登錄視窗
一直在為 RedHat 盒子製定一些安全強化程序,我想知道是否可以防止使用者在密碼過期後更改密碼。
對於我們的一位客戶,要求他們只能通過臨時帳戶訪問伺服器,這意味著一旦創建使用者憑據,密碼必須在 4 小時內過期,一旦密碼過期,只有 root 才能更改它.
對於第一個要求(密碼在 4 小時後過期),我想可以通過設置passwordMaxAge = 144000來實現。但是我仍然找不到防止使用者更改過期密碼的方法,而無需關閉密碼過期。
任何人都可以幫忙嗎?
通常,密碼過期用於強制使用者更改密碼。聽起來您想要做的是鎖定帳戶,從而阻止所有登錄。
我建議您做的是,當您創建帳戶時,還要設置一個 at 作業,該作業將在四個小時後鎖定該帳戶。
例如:
useradd temp8143 echo chage -E 0 temp8143 | at now + 4 hours
(
chage -E
預計到期日期以天為單位,因此我們使用 at 工作解決此問題。)
如果您從 passwd 命令中刪除 setuid 位,則只有 root 可以使用它。這也將禁止使用者在密碼過期之前更改密碼——否則這可能是使用者將帳戶再延長四個小時的一種方式。
[jenny@finch ~] sudo chmod -s /usr/bin/passwd [jenny@finch ~]$ passwd Changing password for user jenny. Changing password for jenny. (current) UNIX password: New password: Retype new password: passwd: Authentication token manipulation error
Root 仍然可以更改任何密碼:
[jenny@finch ~]$ sudo passwd jenny Changing password for user jenny. New password: Retype new password: passwd: all authentication tokens updated successfully.