사용자가 유효한 로그인 창을 확장하지 못하게하는 방법

RedHat 상자에 대한 일부 보안 강화 절차를 수행하고 있으며 암호가 만료되면 사용자가 암호를 변경하지 못하게 할 수 있는지 알고 싶었습니다.

고객 중 하나의 경우 요구 사항은 임시 계정을 통해서만 서버에 액세스 할 수 있어야한다는 것입니다. 즉, 사용자 자격 증명이 생성되면 비밀번호는 4 시간 내에 만료되고 비밀번호가 만료되면 루트 만 변경할 수 있어야합니다. .

첫 번째 요구 사항 (4 시간 후에 만료되는 암호)의 경우 passwordMaxAge = 144000 설정하면 가능 합니다 . 그러나 암호 만료를 해제하지 않고 사용자가 만료 된 암호를 변경하지 못하게하는 방법을 여전히 찾을 수 없었습니다.

누구든지 도울 수 있습니까?

일반적으로 비밀번호 만료는 사용자가 비밀번호를 변경 하도록 강제 하는 데 사용됩니다 . 원하는 것처럼 보이는 것은 계정 을 잠그는 것이므로 모든 로그인을 막을 수 있습니다.

대신 계정을 만들 때 4 시간 후에 계정을 잠그는 작업을 설정하는 것이 좋습니다.

예를 들면 다음과 같습니다.

useradd temp8143
echo chage -E 0 temp8143 | at now + 4 hours

( chage -E만료 날짜는 며칠 내로 제공 될 것으로 예상되므로 at at job으로 해결할 수 있습니다.)

passwd 명령에서 setuid 비트를 제거하면 루트 만 사용할 수 있습니다. 또한 암호 가 만료 되기 전에 사용자가 암호를 변경하지 못하도록합니다. 그렇지 않으면 사용자가 다른 4 시간 동안 계정을 확장 할 수 있습니다.

[jenny@finch ~] sudo chmod -s /usr/bin/passwd
[jenny@finch ~]$ passwd
Changing password for user jenny.
Changing password for jenny.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: Authentication token manipulation error

루트는 여전히 모든 비밀번호를 변경할 수 있습니다.

[jenny@finch ~]$ sudo passwd jenny
Changing password for user jenny.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.