web-dev-qa-db-ja.com

アクセスを完全に防ぐためにロックされたアカウントを期限切れにする必要があるのはなぜですか?

man usermodから:

注:アカウントをロックする場合(パスワードによるアクセスだけでなく)、EXPIRE_DATEも1に設定する必要があります。

  • アカウントへのアクセスを完全に防ぐために、ロックされたアカウントを期限切れにする必要があるのはなぜですか?
  • ロックされたアカウントを期限切れにしないとどうなりますか?
8
Sinoosh

usermod -Lは実際にはユーザーのパスワードのみをロックするため、ユーザーは他の方法(たとえば、公開キー認証を使用するsshセッション)を使用してログインできます。

ただし、EXPIRE_DATEを1に設定すると、アカウントは完全に期限切れになり、ユーザーはそれを一切使用できなくなります。これは、1がat1970-01-01 00:00:01の有効期限に等しいためです。

13
Ravexina

Sshキーはパスワードを気にしないため、代わりにアカウントを停止する必要があります。

古い知恵は、ユーザーのシェルを/bin/falseに変更しました。ただし、これは実際には機能しません。

2
Joshua