उपयोगकर्ताओं को वैध लॉगिन की अपनी विंडो को विस्तारित करने से कैसे रोकें

एक RedHat बॉक्स के लिए कुछ सुरक्षा सख्त प्रक्रियाओं पर काम कर रहा है, और मैं जानना चाहता था कि क्या एक उपयोगकर्ता को अपना पासवर्ड बदलने से रोकना संभव होगा, एक बार यह समाप्त हो जाएगा।

हमारे ग्राहकों में से एक के लिए यह आवश्यक है कि वे केवल अस्थायी खातों के माध्यम से सर्वर तक पहुंचें, जिसका अर्थ है कि उपयोगकर्ता क्रेडेंशियल्स बनने के बाद, पासवर्ड 4 घंटे के भीतर समाप्त हो जाना चाहिए, और एक बार पासवर्ड समाप्त हो जाने के बाद, केवल रूट इसे बदलने में सक्षम होना चाहिए ।

पहली आवश्यकता (4 घंटे के बाद समाप्त होने वाले पासवर्ड) के लिए, मुझे लगता है कि इसे पासवर्डमेक्सएज = 144000 सेट करके प्राप्त किया जा सकता है । लेकिन मैं अभी भी पासवर्ड की समय सीमा समाप्त किए बिना, समय-समय पर समाप्त पासवर्ड बदलने के उपयोगकर्ताओं को रोकने का एक तरीका नहीं खोज सका।

क्या कोई मदद कर सकता है?

— हुला के लिए पैदा हुआ
स्रोत

क्या यह ठीक है अगर उपयोगकर्ता मौजूदा लॉगिन सत्रों को 4-घंटे की खिड़की के पिछले खुले रखता है? यदि वे पहले से लॉग इन हैं, तो उपयोगकर्ता के पासवर्ड को समाप्त करने से उन्हें बाहर नहीं निकाला जाएगा। मैं हफ्तों तक SSH सत्र खोल सकता हूं।

— वायजार्ड

के बजाय पर / cronjobs और प्रणाली बायनेरिज़ के संशोधन पर भरोसा करने के बजाय आप एक साधारण pam मॉड्यूल लिखने में सक्षम हो सकते हैं, या शायद वहाँ भी एक है (या आप अधिक विकल्पों को शामिल करने के लिए

— pam_time

जवाबों:

आम तौर पर, उपयोगकर्ताओं को अपना पासवर्ड बदलने के लिए बाध्य करने के लिए पासवर्ड समाप्ति का उपयोग किया जाता है । ऐसा क्या लगता है जैसे आप करना चाहते हैं, यह खाता लॉक करना है , जो सभी लॉगिन को रोकता है।

इसके बजाय मैं आपको सुझाव दूंगा कि जब आप खाता बनाएँ, तो एक काम भी निर्धारित करें जो चार घंटे के बाद खाता बंद कर देगा।

उदाहरण के लिए:

useradd temp8143
echo chage -E 0 temp8143 | at now + 4 hours

( chage -Eउम्मीद है कि एक्सपायरी डेट दिनों में दी जाएगी, इसलिए हम इस पर काम करते हैं।)

— माइकल हैम्पटन
स्रोत

यह एक अच्छा उपाय है। मुझ से +1।

— जेनी डी

आह, विस्फोट - मैं इस विचार की तरह अच्छी तरह से ; +1 भी। आप एक atटेड भी कर सकते हैं userdel, जिसका फायदा इन सभी टेंप अकाउंट को मिल जाएगा, ताकि वे हमेशा के लिए लटक न जाएं।

— मदहैटर

मुझे लगता है कि यह वास्तव में मेरे सुझाव से बेहतर है।

— जेनी डी

मुझे लगता है कि passwd -l temp813जैसी चीज हासिल होगी chage -E 0 temp8143।

— नैट एल्ड्रेडगे

@NateEldredge बिल्कुल नहीं। passwd -lउदाहरण के लिए, ssh कुंजी लॉगिन या फ़िंगरप्रिंट लॉगिन को रोक नहीं पाएगा chage -E 0।

— माइकल हैम्पटन

यदि आप पासवार्ड कमांड से सेतु बिट को हटाते हैं, तो केवल रूट ही इसका उपयोग करने में सक्षम होगा। यह उपयोगकर्ताओं को समाप्त होने से पहले पासवर्ड को बदलने से भी अक्षम कर देगा - जो अन्यथा उपयोगकर्ताओं के लिए एक और चार घंटे के लिए खाते का विस्तार करने का एक तरीका हो सकता है।

[jenny@finch ~] sudo chmod -s /usr/bin/passwd
[jenny@finch ~]$ passwd
Changing password for user jenny.
Changing password for jenny.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: Authentication token manipulation error

रूट अभी भी कोई भी पासवर्ड बदलने में सक्षम है:

[jenny@finch ~]$ sudo passwd jenny
Changing password for user jenny.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.

— जेनी डी
स्रोत

सुरुचिपूर्ण, और बहुत ही यूनिक्स। मुझ से +1। @borntohula, अगर आप इससे खुश हैं, तो "टिक" की रूपरेखा पर क्लिक करके इस उत्तर को स्वीकार करना न भूलें।

— मैडहैटर

यह लगभग काम करता है। इसके साथ समस्या यह है कि यदि passwdसिस्टम द्वारा कभी भी अपडेट किया जाता है तो सेट्यूड बिट को हटाने का काम पूर्ववत हो जाएगा ।

— माइकल हैम्पटन

@ मिचेल हैम्पटन ट्रू। फिक्सिंग वह है जो उदाहरण के लिए कठपुतली है। इसके अलावा, क्या हर कोई नए अपडेट के बाद अपने सिस्टम की जांच नहीं करता है?

— जेनी डी

@JennyD - वे शायद चाहिए बदलते setuid / setgid बिट्स के लिए जाँच, लेकिन बहुत कम कभी करना

— वॉरेन

@warren - उस वाक्य में व्यंग्य का हल्का सा पता लग सकता है। एक बहुत छोटा सा निशान। मामूली।

— जेनी डी