Machen Sie den Root zum einzigen, der die Passwörter aller anderen Benutzer ändern kann

Aus Sicherheitsgründen möchte ich, dass nur der Stamm die Kennwörter für alle anderen Benutzer ändert. Dies wird erreicht, wenn ich / usr / bin / passwd auf 700 setze. Wenn nun die Kennwortalterung aktiviert oder die erste Anmeldung aktiviert ist und ein Benutzer sich mit einem erfolgreichen oder abgelaufenen Kennwort anmeldet, wird er aufgefordert, ein neues Kennwort auszuwählen Ich möchte deaktivieren.

AUSGABE:

login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Password change requested. Choose a new password.
Enter current password:

Erwarteter Outout:

login as: test
Using keyboard-interactive authentication.
Password:
Using keyboard-interactive authentication.
Your password has expired. Please contact root to change your password.

Ich möchte, dass jede Lösung dies erreicht.

Dafür gibt es eine Option:

passwd -n MIN <login-name>

wird das Ändern des Passworts für MIN Tage nicht zulassen.

Vom Menschen passwd

 -n, --mindays MIN_DAYS
       Set the minimum number of days between password changes to MIN_DAYS. A
       value of zero for this field indicates that the user may change his/her
       password at any time.

Setzen Sie es auf 9999 und Sie sind für 27 Jahre eingestellt.

Obwohl nicht dokumentiert, scheint es auch -1als Wert zu funktionieren. Da dies oft eine Methode ist, um etwas dauerhaft zu deaktivieren, würde ich davon ausgehen, dass es hier dasselbe tut. Beispiel mit -1:

~$ sudo passwd -n -1 rinzwind
passwd: password expiry information changed.
~$ passwd rinzwind
Changing password for rinzwind.
(current) UNIX password: 
Enter new UNIX password: 
Retype new UNIX password: 
Password unchanged
Enter new UNIX password: 
Retype new UNIX password: 
Password unchanged
Enter new UNIX password: 

Das Passwort wird abgefragt, aber nie geändert.

Aus Sicherheitsgründen möchte ich, dass nur der Stamm die Kennwörter für alle anderen Benutzer ändert.

Wenn Sie entscheiden, wie die Passwörter lauten, entsteht ein Sicherheitsrisiko. Nehmen wir an, Sie wählen ein zufälliges Passwort mit Zahlen, Buchstaben, mindestens einem Sonderzeichen, möglicherweise einem Großbuchstaben. Wie Gsi ^ 771H. Diese Passwörter sind sehr, sehr schwer zu merken und Ihre Benutzer werden sie aufschreiben. Auf einem Papier, in einer Textdatei oder noch schlimmer und speichern Sie sie in Google Mail als Konzept.

Die besten Passwörter sind Sätze, an die sich ein Benutzer erinnern kann und die sehr lang sein können. Ein Passwort wie "lastyeariwenttolondonformyholiday" ist allem, was Sie erzwingen können, weit überlegen, obwohl es keine Zahlen, Großbuchstaben oder Sonderzeichen enthält. Dieser Benutzer wird sich daran erinnern, da es mit etwas zusammenhängt, das er getan hat, und es sehr schwer sein wird, Gewalt anzuwenden. Von nun an muss er nur noch jedes Jahr London für seinen Urlaub besuchen;)

Informieren Sie Ihre Benutzer und lassen Sie sie ihr eigenes Passwort auswählen. Wenn Sie sicherstellen müssen, dass ihr Passwort gut ist, erklären Sie ihnen, dass Sie es zusammen mit ihnen festlegen möchten. Sie können jedoch Regeln für das Passwort erstellen: Wenn Sie eine Regel festlegen, dass das Passwort 15 Zeichen lang sein muss, und ihnen mitteilen, dass dies der Fall ist, wählen sie Sätze anstelle von zufälligen Buchstaben aus, die sie verstehen und hoffentlich zustimmen.

Oder ...

Sie könnten PAM verwenden . In der Datei /etc/pam.d/common-password:

password optional pam_echo.so Only root can change passwords...
password sufficient pam_rootok
password required pam_deny.so

Wenn Sie den passwdBefehl ausführen :

user@ubuntu1510:~$ passwd
Only root can change passwords...
Changing password for user.
(current) UNIX password: 
passwd: Authentication token manipulation error
passwd: password unchanged