一時パスワードの有効期限のみ設定

一時パスワードの有効期限のみ設定
  • /etc/passwdRHEL 7.9を使用しておよびにローカルユーザーアカウントが定義されています/etc/shadow
  • 私のパスワード変更プロセスは、必要に応じてユーザーに一時パスワードを電子メールで送信することです。
  • ルートとして、私は対応するpasswd <username>一時パスワードを使用してから、コマンドを使用して一時passwd -e <username>パスワードを期限切れにします。その後、ユーザーはSSH経由でログインするときにパスワードを変更する必要があります。
  • これにより、chage -E <date> <username>一時パスワードを次のように設定できます。成熟するそのユーザーアカウントに一時パスワードを設定し、電子メールで送信した後7日であるとします。ただし、ユーザーが7日以内にログインしてパスワードを正常に変更した場合、この有効期限は一時パスワードにのみ有効であり、ユーザーがパスワードを正常に変更すると消えたくなります。これを行う方法はありますか?
    • 参考までに、PASS_MAX_DAYS = 90です。/etc/login.defs
    • ユーザーがアカウントのパスワードを正常に変更した場合は、8番目(最後)のフィールドを空白のままにしたいと思います。/etc/shadowこれはaに対応し、chage -E -1 <username>PASS_MAX_DAYSとは何の関係もありません。
    • メールが欲しくない一時的なパスワードはPASS_MAX_DAYSの間有効です。 7日間のみ有効にしたいです。自動的に設定する方法はありますか?

答え1

非アクティブタイムアウトを7日(chage -I 7 <username>)に設定します。この方法:

  • パスワードが期限切れになったため、passwd -eユーザーはログイン時にパスワードを強制的に変更する必要があります()。
  • 7日後にパスワードを変更しないと、アカウントはロックされます。これにより、パスワードではなくログインも無効になりますが、私が理解していると、これはあなたに許可されます。

パスワードを頻繁に変更するのは悪い習慣です。。 10年前はかつて人気がありましたが、間違ったアドバイスでしたが、実際には逆効果を出していましたが、今は一般的にもはや使用されていません。これは、ユーザーに覚えやすいパスワードを選択するか、簡単にアクセスできる場所に書き留めるように求めます。そうしないとパスワードを覚えていないからです。ただし、一部の主要組織では、過去90日以降にパスワードのリセットを要求または推奨していました。望むより:

したがって、パスワードポリシーを変更することをお勧めします。それができない場合は、既知の悪い慣行が続いていることを当局に知らせてください。

関連情報