web-dev-qa-db-ja.com

他のすべてのユーザーのパスワードを変更できる唯一のルートにする

セキュリティのために、他のすべてのユーザーのパスワードを変更できるのはルートのみです。これは、/ usr/bin/passwdを700に設定すると達成されます。パスワードエージングが有効な場合、または最初のログインが有効な場合、ユーザーが成功または期限切れのパスワードでログインすると、新しいパスワードを選択するように要求されます。無効にします。

出力:

login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Password change requested. Choose a new password.
Enter current password:

予想されるアウトアウト:

login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Your password has expired. Please contact root to change your password.

これを達成するための回避策が必要です。

7
Krithik

そのためのオプションがあります:

passwd -n MIN <login-name>

mIN日間パスワードを変更できなくなります。

男passwdから

 -n, --mindays MIN_DAYS
       Set the minimum number of days between password changes to MIN_DAYS. A
       value of zero for this field indicates that the user may change his/her
       password at any time.

9999に設定すると、27年間設定されます。


文書化されていませんが、-1も値として機能するようです。多くの場合、これは何かを永続的に無効にする方法なので、ここでも同じことをすると思います。 -1を使用した例:

~$ Sudo passwd -n -1 rinzwind
passwd: password expiry information changed.
~$ passwd rinzwind
Changing password for rinzwind.
(current) UNIX password: 
Enter new UNIX password: 
Retype new UNIX password: 
Password unchanged
Enter new UNIX password: 
Retype new UNIX password: 
Password unchanged
Enter new UNIX password: 

パスワードは要求されますが、変更されることはありません。

セキュリティのために、他のすべてのユーザーのパスワードを変更できるのはルートのみです。

パスワードを決定すると、セキュリティリスクが発生します。数字、文字、少なくとも特殊文字、おそらく大文字でランダムなパスワードを選択すると仮定します。 Gsi ^ 771Hのように。これらのパスワードは非常に覚えにくいため、ユーザーはそれらを書き留めます。紙の上に、テキストファイルで、さらに悪いことに、Gmailに概念として保存します。

最良のパスワードは、ユーザーが覚えることができる文であり、非常に長い場合があります。 「lastyeariwenttolondonformyholiday」のようなパスワードは、数字、大文字、または特殊文字がなくても、強制できるものよりもはるかに優れています。そのユーザーは、それが彼がしたことと関連しており、総当たりするのが非常に難しいので、それを覚えています。彼がしなければならないことは、これから毎年彼の休日のためにロンドンを訪れることです;)

ユーザーを教育し、ユーザーに自分のパスワードを選択させます。パスワードが適切であることを確認する必要がある場合は、パスワードを一緒に設定する必要があります。ただし、パスワードに関するルールを作成することもできます。パスワードを15文字にする必要があるというルールを設定し、そのような場合はランダムな文字ではなく文を選択して理解し、うまくいけば同意します。

または ...

enter image description here

17
Rinzwind

PAM を使用できます。ファイル/etc/pam.d/common-password内:

password optional pam_echo.so Only root can change passwords...
password sufficient pam_rootok
password required pam_deny.so

passwdコマンドを実行すると:

user@ubuntu1510:~$ passwd
Only root can change passwords...
Changing password for user.
(current) UNIX password: 
passwd: Authentication token manipulation error
passwd: password unchanged
0