使 root 成为唯一能够更改所有其他用户密码的人
Kri*_*hik 7 permissions command-line password login
为了安全起见,我只希望 root 更改所有其他用户的密码。如果我将 /usr/bin/passwd 设置为 700,这将实现。现在,如果启用密码老化或启用首次登录,当用户使用成功或过期的密码登录时,他们会被要求选择一个新密码,即我想禁用。
输出:
login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Password change requested. Choose a new password.
Enter current password:
预期输出:
login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Your password has expired. Please contact root to change your password.
我想要任何解决方法来实现这一目标。
Rin*_*ind 17
有一个选项:
passwd -n MIN <login-name>
将禁止在 MIN 天内更改密码。
来自 man passwd
-n, --mindays MIN_DAYS
Set the minimum number of days between password changes to MIN_DAYS. A
value of zero for this field indicates that the user may change his/her
password at any time.
把它放在 9999 上,你就可以活 27 年。
虽然没有记录,但它似乎也-1可以作为一种价值。由于这通常是一种永久禁用某些内容的方法,因此我认为它会在这里做同样的事情。使用示例-1:
~$ sudo passwd -n -1 rinzwind
passwd: password expiry information changed.
~$ passwd rinzwind
Changing password for rinzwind.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
Password unchanged
Enter new UNIX password:
Retype new UNIX password:
Password unchanged
Enter new UNIX password:
密码被要求但从未更改。
为了安全起见,我只希望 root 更改所有其他用户的密码。
您决定密码是什么会造成安全风险。让我们假设您选择了一个随机密码,其中包含数字、字母、至少一个特殊字符,可能是大写字母。像 Gsi^771H。这些密码非常非常难以记住,您的用户会将它们写下来。在纸上,在文本文件中,甚至更糟,并将它们作为概念保存在 gmail 中。
最好的密码是用户可以记住的句子,而且这些句子可能很长。像“lastyeariwenttolondonformyholiday”这样的密码远优于任何你可以强制执行的密码,即使它缺少数字、大写字母或特殊字符。那个用户会记住它,因为它与他所做的事情有关,而且很难用蛮力。从现在开始,他唯一要做的就是每年都去伦敦度假;)
教育您的用户,让他们选择自己的密码。如果您需要确保他们的密码正确,请向他们解释您想与他们一起设置密码。但是,您可以创建密码规则:如果您设置密码必须为 15 个字符的规则,并告诉他们是这种情况,那么他们会选择一个句子而不是随机字母,他们会理解并希望同意。
或者 ...
