Сделайте корень единственным способный изменить пароли всех других пользователей
Для цели безопасности я хочу только, чтобы корень изменил пароли для всех других пользователей. Это будет достигнуто, если я установил/usr/bin/passwd на 700. Теперь, если старение пароля включено, или первый вход в систему включен, когда пользователь входит в систему с успешным или паролем с истекшим сроком, их требуют, выбрал новый пароль, который я хочу отключить.
ВЫВОД:
login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Password change requested. Choose a new password.
Enter current password:
Ожидаемый Outout:
login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Your password has expired. Please contact root to change your password.
Я хочу, чтобы любая работа вокруг достигла этого.
2 ответа
Существует опция для этого:
passwd -n MIN <login-name>
запретит от изменения пароля в течение дней МИН.
От человека passwd
-n, --mindays MIN_DAYS
Set the minimum number of days between password changes to MIN_DAYS. A
value of zero for this field indicates that the user may change his/her
password at any time.
Помещает его на 9 999, и Вы установлены в течение 27 лет.
<час>, Хотя не зарегистрированный это кажется -1 работы как значение также. Поскольку это часто - метод для отключения чего-то постоянно, я предположил бы, что он сделает то же здесь. Пример с помощью -1:
~$ sudo passwd -n -1 rinzwind
passwd: password expiry information changed.
~$ passwd rinzwind
Changing password for rinzwind.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
Password unchanged
Enter new UNIX password:
Retype new UNIX password:
Password unchanged
Enter new UNIX password:
Пароль спрашивают, но никогда не изменяют.
Для цели безопасности, я хочу только, чтобы корень изменил пароли для всех других пользователей.
Вы решающий, что пароли, собираетесь создать угрозу безопасности. Давайте предположим выбор случайного пароля с числами, буквами, по крайней мере, специальным символом, возможно, капитал. Как Gsi^771H. Те пароли очень очень очень трудно помнить, и Ваши пользователи собираются записать их. На бумаге, в текстовом файле или еще хуже и сохраняют их в Gmail как понятие.
лучшие пароли являются предложениями, которые может помнить пользователь, и это может быть очень длинным. Пароль как "lastyeariwenttolondonformyholiday" намного выше по чему-либо, что можно осуществить даже при том, что он испытывает недостаток в числах, прописных буквах или специальных символах. Тот пользователь будет помнить это, так как это связано с чем-то, что он сделал и это будет очень твердо к грубой силе. Только вещь, которую он должен сделать, посетить Лондон для его отпуска каждый год с этого времени ;)
Обучают Ваших пользователей и позволяют им выбрать свой собственный пароль. Если необходимо удостовериться, что их пароль хорош, объясняют им, Вы хотите установить его вместе с ними. Можно однако создать правила о пароле: если Вы устанавливаете правило, что пароль должен быть 15 символами и сказать им, что дело обстоит так, таким образом, они выбирают предложения вместо случайных букв, которые они поймут и надо надеяться согласуют.
Или...
Вы могли использовать PAM. В файле /etc/pam.d/common-password:
password optional pam_echo.so Only root can change passwords...
password sufficient pam_rootok
password required pam_deny.so
, Когда Вы работаете эти passwd команда:
user@ubuntu1510:~$ passwd
Only root can change passwords...
Changing password for user.
(current) UNIX password:
passwd: Authentication token manipulation error
passwd: password unchanged