如果你管理一个Linux的系统,有可能会时间,你需要锁定一个帐户。也许有人是不断变化的立场和他们的持续需要的帐户下的问题;也许,我们有理由相信,访问该帐户已经被入侵。在任何情况下,知道如何锁定帐户,以及如何解开它是否应该再次需要的是你需要能够做一些事情。
要记住很重要的一点是,有多种方式来锁定一个帐户,他们并不都具有相同的效果。如果帐户用户访问使用公共/私有密钥,而不是密码的帐户,你可以使用阻止访问的帐户一些命令将不会生效。
使用passwd命令锁定帐户
一个锁定的帐户最简单的方法是用passwd文件-l命令。例如:
$ sudo的passwd文件-l蝌蚪
此命令的作用是插入感叹号如在/ etc /影子文件中的加密的密码字段中的第一个字符。这足以从工作保持密码。以前看什么像这样(注意第一个字符):
6美元IC6icrWlNhndMFj6 Jj14Regv3b2EdK.8iLjSeO893fFig75f32rpWpbKPNz7g美元/ eqeaPCnXl3iQ7RFIN0BGC0E91sghFdX2eWTe2ET0:18184:0:99999:7:::
看起来就像这样:
! 6美元IC6icrWlNhndMFj6 Jj14Regv3b2EdK.8iLjSeO893fFig75f32rpWpbKPNz7g美元/ eqeaPCnXl3iQ7RFIN0BGC0E91sghFdX2eWTe2ET0:18184:0:99999:7:::
在他下次登录尝试(应该有一个),蝌蚪可能会尝试他的密码了无数次,而不是访问。而你,另一方面,将能够检查他的账户状态,像这样(-S =状态)的命令:
$须藤的passwd -S蝌蝌大号二零一九年十月十五日0 99999 7 -1
第二个字段中的“L”表示该帐户已锁定。在账户被锁定之前,它应该是一个“P”。“NP”表示没有设置密码。
该usermod - l命令将具有相同的效果(插入惊叹号字符到禁止使用的密码)。
其中一个锁定在这样一个帐户的好处是,它是很容易的,如果需要的时候解锁帐户。只需通过删除使用文本编辑器,或者添加的感叹号更重要的是,通过使用反向变化passwd文件-u命令。
$ sudo的passwd文件-u蝌蚪的passwd:密码过期信息改变。
这种方法的问题在于,如果用户访问他或她的账户与公钥/私钥,这种变化不会阻止其使用。
使用chage命令锁定帐户
另一种锁定用户帐户的方法是恰克命令可帮助管理帐户的到期日期。
$ sudu chage -E0 tadpole $ sudo passwd -S tadpole tadpole P 10/15/2019 0 99999 7 -1
该恰克命令将会使一个微妙的变化到/ etc / shadow文件。在冒号分隔的文件(如下所示)的第八字段将被设置为零(以前为空),并且该装置中的帐户基本上过期。该恰克命令跟踪密码改变之间的天数,而且还提供帐户过期信息时使用此选项。零在eiighth字段将意味着帐户1970年1月1日之后到期日,也简单地将其锁定在使用像上面所示的命令。
$ sudo的grep的蝌蚪/ etc / shadow文件|折蝌蚪:$ 6 $ $ IC6icrWlNhndMFj6 Jj14Regv3b2EdK.8iLjSeO893fFig75f32rpWpbKPNz7g / eqeaPC nXl3iQ7RFIN0BGC0E91sghFdX2eWTe2ET0:18184:0:99999:7 :: 0:^ |+ ---天,直到到期
扭转这种变化,就可以简单地移除被放置在用于与这样的命令的用户在/ etc /影子条目中的0:
%须藤CHAGE -E-1蝌蚪
一旦该帐户被以这种方式失效,甚至无密码SSH将不提供访问权限。