Tại sao chúng ta nên hết hạn một tài khoản bị khóa để hoàn toàn ngăn chặn truy cập?

Từ man usermod:

Lưu ý: nếu bạn muốn khóa tài khoản (không chỉ truy cập bằng mật khẩu), bạn cũng nên đặt EXPIRE_DATE thành 1.

Tại sao chúng ta nên hết hạn một tài khoản bị khóa để hoàn toàn ngăn chặn quyền truy cập vào tài khoản?
Điều gì sẽ xảy ra nếu tôi không hết hạn tài khoản bị khóa?

users user-management accounts

— Sinoosh
nguồn

Câu trả lời:

usermod -L thực tế chỉ khóa mật khẩu của người dùng, vì vậy người dùng vẫn có thể đăng nhập bằng các phương thức khác, ví dụ như phiên ssh sử dụng xác thực khóa chung.

Nhưng nếu bạn đặt thành EXPIRE_DATE1, tài khoản sẽ hết hạn và người dùng không thể sử dụng nó theo bất kỳ cách nào. Điều này là do 1 bằng với nó hết hạn tại 1970-01-01 00:00:01.

— Ravexina
nguồn

Thế còn usermod -L -e 300 username? Tài khoản sẽ hết hạn?

— Sinoosh

@Sinoosh bằng cách nào đó giống nhau. ngày hết hạn sẽ được thiết lập Oct 28, 1970để làm cho tài khoản hết hạn.

— Ravexina

Đọc những điều này: Làm thế nào để tạo nhiều khóa ssh? , Làm cách nào để thiết lập khóa xác thực SSH? và Làm cách nào tôi có thể thiết lập đăng nhập SSH không cần mật khẩu? .

— Ravexina

@Ravexina Sẽ tốt hơn nếu bạn thực sự gọi nó là "xác thực khóa công khai SSH" trong câu trả lời của bạn, bởi vì đó là cơ chế xác thực bỏ qua mật khẩu, không phải SSH per se;)

— marcelm

@marcelm bạn nói đúng. Đã cập nhật câu trả lời ...

— Ravexina

Bởi vì khóa ssh không quan tâm đến mật khẩu, bạn cần tài khoản chết.

Sự khôn ngoan cũ đã thay đổi vỏ của người dùng thành /bin/false; tuy nhiên điều này không thực sự hoạt động.

— Joshua
nguồn

"thay đổi trình bao của người dùng thành / bin / false; tuy nhiên điều này không thực sự hoạt động" [cần dẫn nguồn]

— user60561

@ user60561 một số lệnh ssh không sử dụng shell, như cổng chuyển tiếp.

— Joshua