安全にパペットを介してユーザーのパスワードを無効にする方法は？

Question

パスワード認証を無効にして公開鍵認証のみを使用するようにSSHサーバーを設定しています。

パペットを介してユーザーを追加するとき、ユーザーのパスワードを無効にしたいと思います。

これまでのところ、これはうまくいくようですが、これがどれほど安全かはわかりません：

user { 'john': ensure => 'present', comment => 'John Smith', groups => ['adm','Sudo','wheel','users'], home => '/home/john', managehome => true, Shell => '/bin/bash', password => '*', }

使用しています password => '*'定義は、ユーザーパスワードを無効にするのに安全であると考えられていますか？

user9517 · Accepted Answer

shadow（5）のmanページには、

たとえば、パスワードフィールドにcrypt（3）の有効な結果ではない文字列が含まれている場合、！または*、ユーザーはUNIXパスワードを使用してログインできなくなります（ただし、ユーザーは他の方法でシステムにログインできます）。

したがって、*を使用しても安全です。暗号化されたパスワードの最初の文字!は、パスワードがロックされている（passwd -l）ことを示すために passwd（1）によって使用され、これをロック解除できる（passwd -u）。