¿Por qué deberíamos caducar una cuenta bloqueada para evitar totalmente el acceso?

8

De man usermod:

Nota: si desea bloquear la cuenta (no solo el acceso con una contraseña), también debe establecer EXPIRE_DATE en 1.

  • ¿Por qué deberíamos caducar una cuenta bloqueada para evitar totalmente el acceso a la cuenta?
  • ¿Qué pasará si no caduco una cuenta bloqueada?
Sinoosh
fuente

Respuestas:

13

usermod -L en realidad solo bloquea la contraseña del usuario, por lo que el usuario aún puede iniciar sesión utilizando otros métodos, por ejemplo, una sesión ssh que usa autenticación de clave pública.

Pero si configura el EXPIRE_DATE1, la cuenta caducará por completo y el usuario no podrá usarla de ninguna manera. Esto se debe a que 1 es igual a expirar en 1970-01-01 00:00:01.

Ravexina
fuente
1
¿Qué tal usermod -L -e 300 username? ¿La cuenta caducará por completo?
Sinoosh
1
@Sinoosh es de alguna manera igual. la fecha de caducidad se establecería en la Oct 28, 1970cual la cuenta caduca.
Ravexina
1
@Ravexina Sería mejor si realmente lo llamaras "Autenticación de clave pública SSH" en tu respuesta, porque es el mecanismo de autenticación que está pasando por alto la contraseña, no SSH per se;)
marzo
1
@marcelm tienes razón. Actualizó la respuesta ...
Ravexina
2

Debido a que las claves ssh no se preocupan por las contraseñas, necesita que la cuenta muera.

La vieja sabiduría era cambiar el caparazón del usuario /bin/false; Sin embargo, esto en realidad no funciona.

Joshua
fuente
"cambia el shell del usuario a / bin / false; sin embargo, esto realmente no funciona" [cita requerida]
user60561
3
@ user60561 algunos comandos ssh no usan el shell, como los puertos de reenvío.
Joshua