如果你管理aLinux系统中,可能会出现需要锁定帐户的情况。也许有人正在改变头寸,他们对该账户的持续需求受到了质疑;也许有理由相信,该账户的访问权限已被泄露。在任何情况下,知道如何锁定一个帐户和如何解锁它是你需要能够做的事情。
需要记住的一件重要事情是,锁定一个账户有多种方法,它们并不都有相同的效果。如果帐户用户使用公钥/私钥而不是密码访问帐户,那么您可能会使用一些命令来阻止对帐户的访问,这些命令将不会有效。
锁定使用passwd命令的帐户
锁定帐户的最简单方法之一是使用passwd - l命令。例如:
$ sudo passwd -l蝌蚪
这个命令的作用是在/etc/shadow文件的加密密码字段中插入一个感叹号作为第一个字符。这足以防止密码工作。之前的样子(注意第一个字符):
$ 6 $ $ IC6icrWlNhndMFj6 Jj14Regv3b2EdK.8iLjSeO893fFig75f32rpWpbKPNz7g / eqeaPCnXl3iQ7RFIN0BGC0E91sghFdX2eWTe2ET0:18184:0:99999:7 :::
将会是这样的:
!$ $ 6 IC6icrWlNhndMFj6 $ Jj14Regv3b2EdK.8iLjSeO893fFig75f32rpWpbKPNz7g / eqeaPCnXl3iQ7RFIN0BGC0E91sghFdX2eWTe2ET0:18184:0:99999:7 :::
在他的下一次登录尝试(如果有的话),蝌蚪可能会尝试他的密码无数次而不能获得访问。另一方面,您可以使用以下命令(-S = status)检查他的帐户状态:
$ sudo passwd -S蝌蚪蝌蚪L 10/15/2019 0 99999 7 -1
在“L”在第二场告诉您该帐户被锁定。该帐户被锁定之前,它会是一个“P”。一个“NP”将意味着没有设置密码。
的usermod命令-L命令将具有相同的效果(插入感叹号以禁用密码的使用)。
以这种方式锁定帐户的好处之一是,在需要的时候很容易解锁帐户。只需使用文本编辑器删除添加的感叹号,或者更好的方法是使用passwd - u命令。
sudo passwd -u tadpole passwd:密码到期信息更改。
这种方法的问题在于,如果用户使用公钥/私钥访问他或她的帐户,这种更改不会阻止他们的使用。
锁定账户chage命令
锁定用户帐户的另一种方法是对的CHAGE帮助管理帐户过期日期的命令。
$的Sudu CHAGE -E0蝌蚪$须藤的passwd -S蝌蝌P 2019年10月15日0 99999 7 -1
的CHAGE命令将对/etc/shadow文件进行微妙的更改。冒号分隔文件(如下所示)中的第8个字段将被设置为0(之前为空),这意味着该帐户实际上已经过期。的CHAGE命令跟踪密码更改之间的天数,但在使用此选项时还提供帐户过期信息。eiighth字段中的0表示该帐户在1970年1月1日之后的一天过期,但是在使用如上所示的命令时也会简单地锁定它。
$ sudo grep tadpole /etc/shadow | fold tadpole:$6$IC6icrWlNhndMFj6$Jj14Regv3b2EdK8iljseo893ffig75fpwpbkpnz7g /eqeaPC nXl3iQ7RFIN0BGC0E91sghFdX2eWTe2ET0:18184:0:99999:7::0: ^ | +——截止日期
要逆转这一变化,您可以简单地删除在/etc/shadow条目中为用户放置的0,并使用如下命令:
% sudo chage -E-1蝌蚪
一旦帐户以这种方式过期,甚至无密码SSH将不提供访问。