Управление пользователями и группами. Часть 6.
Блокировка учетных записей и управление паролями.
суббота, июня 16, 2007
Требуется заблокировать учетную запись и временно запретить пользователю вход в систему, но без удаления учетной записи.
Также требуется сбросить пароль, установить срок его действия или ограничить количество неудачных попыток входа. Сброс решает вечную проблему забытого пароля. Многие администраторы Linux считают, что срок действия пароля нужно ограничивать, поскольку это заставляет пользователей периодически менять пароль.
Решение
Сперва немного о блокировке учетных записей. Чтобы временно деактивировать учетную запись, заблокируйте пароль пользователя ключом -l (lock):
# passwd -l ivanov
Password changed.
Следующая команда снимает блокировку с учетной записи:
# passwd -u ivanov
Еще один способ заблокировать учетную запись — вставить восклицательный знак в начало поля пароля в файле /etc/shadow:
foobar:!$l$wiD1Qr34$mitGZA76MSYCY04AHIYl:12466:0:99999:7:: :
Также можно заменить х в поле пароля в файле /etc/passwd звездочкой (*):
foober:*:1025:1025:Foober Smith..,:/home/foober:/bin/bash
Наконец, можно лишить пользователя доступа к командному процессору:
# usermod -s /bin/false foober
И все же лучше всего придерживаться варианта с passwd -l и -u.
А теперь про управление паролями.
Операции назначения и настройки паролей осуществляются командой passwd.
Сброс или изменение пароля:
# passwd ivanov
Пользователь также может сменить свой пароль:
ivanov@server04:-$ passwd
Следующая команда ограничивает срок действия пароля aborg шестью месяцами, с выдачей предупреждения за пять дней:
# passwd -х 180 -w 5 -i l ivanov
Чтобы просмотреть пароли пользователя, воспользуйтесь командой
# passwd -S option
ivanov P 02/18/2004 0 10 5 1
Пароль может содержать цифры, буквы и знаки препинания, при этом они чувствительны к регистру символов. Пробелы и функциональные клавиши не допускаются. Рекомендуется использовать сильные пароли, то есть не выбирать в качестве пароля имена, слова из словаря, дни рождения или адреса. Пароли рекомендуется записывать и хранить в надежном месте. К сожалению, многие пользователи выбирают слабые, легко угадываемые пароли или хранят их в небезопасных местах (например, на записке, прикрепленной к монитору).
Пароли Linux не восстанавливаются. При потере пароля следует обратиться к суперпользователю для получения нового пароля. Или конечно к себе, если Вы сами себе суперпользователь. :)
Предыдущие части:
Часть 1. Отделение обычных пользователей от системных.
Часть 2. Создание учетной записи командами useradd и adduser.
Часть 3. Изменение учетной записи пользователя.
Часть 4. Удаление пользователя.
Часть 5. Простое завершение процессов.
Также требуется сбросить пароль, установить срок его действия или ограничить количество неудачных попыток входа. Сброс решает вечную проблему забытого пароля. Многие администраторы Linux считают, что срок действия пароля нужно ограничивать, поскольку это заставляет пользователей периодически менять пароль.
Решение
Сперва немного о блокировке учетных записей. Чтобы временно деактивировать учетную запись, заблокируйте пароль пользователя ключом -l (lock):
# passwd -l ivanov
Password changed.
Следующая команда снимает блокировку с учетной записи:
# passwd -u ivanov
Еще один способ заблокировать учетную запись — вставить восклицательный знак в начало поля пароля в файле /etc/shadow:
foobar:!$l$wiD1Qr34$mitGZA76MSYCY04AHIYl:12466:0:99999:7:: :
Также можно заменить х в поле пароля в файле /etc/passwd звездочкой (*):
foober:*:1025:1025:Foober Smith..,:/home/foober:/bin/bash
Наконец, можно лишить пользователя доступа к командному процессору:
# usermod -s /bin/false foober
И все же лучше всего придерживаться варианта с passwd -l и -u.
А теперь про управление паролями.
Операции назначения и настройки паролей осуществляются командой passwd.
Сброс или изменение пароля:
# passwd ivanov
Пользователь также может сменить свой пароль:
ivanov@server04:-$ passwd
Следующая команда ограничивает срок действия пароля aborg шестью месяцами, с выдачей предупреждения за пять дней:
# passwd -х 180 -w 5 -i l ivanov
Чтобы просмотреть пароли пользователя, воспользуйтесь командой
# passwd -S option
ivanov P 02/18/2004 0 10 5 1
Пароль может содержать цифры, буквы и знаки препинания, при этом они чувствительны к регистру символов. Пробелы и функциональные клавиши не допускаются. Рекомендуется использовать сильные пароли, то есть не выбирать в качестве пароля имена, слова из словаря, дни рождения или адреса. Пароли рекомендуется записывать и хранить в надежном месте. К сожалению, многие пользователи выбирают слабые, легко угадываемые пароли или хранят их в небезопасных местах (например, на записке, прикрепленной к монитору).
Пароли Linux не восстанавливаются. При потере пароля следует обратиться к суперпользователю для получения нового пароля. Или конечно к себе, если Вы сами себе суперпользователь. :)
Предыдущие части:
Часть 1. Отделение обычных пользователей от системных.
Часть 2. Создание учетной записи командами useradd и adduser.
Часть 3. Изменение учетной записи пользователя.
Часть 4. Удаление пользователя.
Часть 5. Простое завершение процессов.
Ярлыки: документация, Управление пользователями, linux
