Machen Sie den Root zum einzigen, der die Passwörter aller anderen Benutzer ändern kann


7

Aus Sicherheitsgründen möchte ich, dass nur der Stamm die Kennwörter für alle anderen Benutzer ändert. Dies wird erreicht, wenn ich / usr / bin / passwd auf 700 setze. Wenn nun die Kennwortalterung aktiviert oder die erste Anmeldung aktiviert ist und ein Benutzer sich mit einem erfolgreichen oder abgelaufenen Kennwort anmeldet, wird er aufgefordert, ein neues Kennwort auszuwählen Ich möchte deaktivieren.

AUSGABE:

login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Password change requested. Choose a new password.
Enter current password:

Erwarteter Outout:

login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Your password has expired. Please contact root to change your password.

Ich möchte, dass jede Lösung dies erreicht.


"Bitte kontaktieren Sie root, um Ihr Passwort zu ändern." Ich würde glauben "Bitte kontaktieren Sie den Administrator, um Ihr Passwort zu ändern." klingt besser. Aber ich glaube nicht, dass das möglich ist. Die "fehlgeschlagenen Versuche" werden protokolliert, damit Sie einen Job erstellen können, der Sie alarmiert, wenn sie versuchen, ihn zu ändern.
Rinzwind

6
Ich bin nicht davon überzeugt, dass das Verhindern, dass Benutzer ihre eigenen Passwörter festlegen, die Sicherheit erhöht. Tatsächlich ist fast garantiert, dass die Benutzer die Passwörter jetzt dort aufschreiben, wo sie zuvor eines ausgewählt haben, das sie im Speicher behalten können.
Simon Richter

1
"Sicherheit auf Kosten der Benutzerfreundlichkeit geht zu Lasten der Sicherheit" - Die AviD-Regel.
Heemayl

Antworten:


17

Dafür gibt es eine Option:

passwd -n MIN <login-name>

wird das Ändern des Passworts für MIN Tage nicht zulassen.

Vom Menschen passwd

 -n, --mindays MIN_DAYS
       Set the minimum number of days between password changes to MIN_DAYS. A
       value of zero for this field indicates that the user may change his/her
       password at any time.

Setzen Sie es auf 9999 und Sie sind für 27 Jahre eingestellt.


Obwohl nicht dokumentiert, scheint es auch -1als Wert zu funktionieren. Da dies oft eine Methode ist, um etwas dauerhaft zu deaktivieren, würde ich davon ausgehen, dass es hier dasselbe tut. Beispiel mit -1:

~$ sudo passwd -n -1 rinzwind
passwd: password expiry information changed.
~$ passwd rinzwind
Changing password for rinzwind.
(current) UNIX password: 
Enter new UNIX password: 
Retype new UNIX password: 
Password unchanged
Enter new UNIX password: 
Retype new UNIX password: 
Password unchanged
Enter new UNIX password: 

Das Passwort wird abgefragt, aber nie geändert.

Aus Sicherheitsgründen möchte ich, dass nur der Stamm die Kennwörter für alle anderen Benutzer ändert.

Wenn Sie entscheiden, wie die Passwörter lauten, entsteht ein Sicherheitsrisiko. Nehmen wir an, Sie wählen ein zufälliges Passwort mit Zahlen, Buchstaben, mindestens einem Sonderzeichen, möglicherweise einem Großbuchstaben. Wie Gsi ^ 771H. Diese Passwörter sind sehr, sehr schwer zu merken und Ihre Benutzer werden sie aufschreiben. Auf einem Papier, in einer Textdatei oder noch schlimmer und speichern Sie sie in Google Mail als Konzept.

Die besten Passwörter sind Sätze, an die sich ein Benutzer erinnern kann und die sehr lang sein können. Ein Passwort wie "lastyeariwenttolondonformyholiday" ist allem, was Sie erzwingen können, weit überlegen, obwohl es keine Zahlen, Großbuchstaben oder Sonderzeichen enthält. Dieser Benutzer wird sich daran erinnern, da es mit etwas zusammenhängt, das er getan hat, und es sehr schwer sein wird, Gewalt anzuwenden. Von nun an muss er nur noch jedes Jahr London für seinen Urlaub besuchen;)

Informieren Sie Ihre Benutzer und lassen Sie sie ihr eigenes Passwort auswählen. Wenn Sie sicherstellen müssen, dass ihr Passwort gut ist, erklären Sie ihnen, dass Sie es zusammen mit ihnen festlegen möchten. Sie können jedoch Regeln für das Passwort erstellen: Wenn Sie eine Regel festlegen, dass das Passwort 15 Zeichen lang sein muss, und ihnen mitteilen, dass dies der Fall ist, wählen sie Sätze anstelle von zufälligen Buchstaben aus, die sie verstehen und hoffentlich zustimmen.

Oder ...

Geben Sie hier die Bildbeschreibung ein


1
Das xkcd wird nie alt ... oder?
Heemayl

1
@heemayl Hölle nein :-D Zum ersten Mal konnte ich eines davon verwenden :-D
Rinzwind

@Rinzwind PS Wenn Sie xkcd zitieren, verlinken Sie zurück zur xkcd-Comicseite, nicht zu einem Foto mit einer Website zum Teilen von Bildern. Sagt die xkcd legale Seite.
UniversallyUniqueID

0

Sie könnten PAM verwenden . In der Datei /etc/pam.d/common-password:

password optional pam_echo.so Only root can change passwords...
password sufficient pam_rootok
password required pam_deny.so

Wenn Sie den passwdBefehl ausführen :

user@ubuntu1510:~$ passwd
Only root can change passwords...
Changing password for user.
(current) UNIX password: 
passwd: Authentication token manipulation error
passwd: password unchanged
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.