web-dev-qa-db-fra.com

Pourquoi devrions-nous expirer un compte verrouillé pour empêcher totalement l'accès?

De man usermod:

Remarque: si vous souhaitez verrouiller le compte (pas uniquement l'accès avec un mot de passe), vous devez également définir EXPIRE_DATE sur 1.

  • Pourquoi devrions-nous expirer un compte verrouillé pour empêcher totalement l'accès au compte?
  • Qu'est-ce qui se passera si je n'expire pas un compte verrouillé?
8
Sinoosh

usermod -L ne verrouille en réalité que le mot de passe de l'utilisateur. L'utilisateur peut donc se connecter à l'aide d'autres méthodes, par exemple une session SSH utilisant l'authentification par clé publique.

Mais si vous définissez le EXPIRE_DATE sur 1, le compte expirera entièrement et l'utilisateur ne pourra plus l'utiliser. En effet, 1 est égal à elle expirant à 1970-01-01 00:00:01.

13
Ravexina

Parce que les clés ssh ne se soucient pas des mots de passe, vous devez laisser le compte mourir à la place.

L'ancienne sagesse était de changer le shell de l'utilisateur en /bin/false; Cependant, cela ne fonctionne pas réellement.

2
Joshua