Perché dovremmo scadere un account bloccato per impedire totalmente l'accesso?

Da man usermod:

Nota: se si desidera bloccare l'account (non solo accedere con una password), è necessario impostare EXPIRE_DATE su 1.

Perché dovremmo scadere un account bloccato per impedire totalmente l'accesso all'account?
Cosa succederà se non scade un account bloccato?

users user-management accounts

— Sinoosh
fonte

Risposte:

usermod -L in realtà blocca solo la password dell'utente, quindi l'utente è ancora in grado di accedere utilizzando altri metodi, ad esempio una sessione ssh che utilizza l'autenticazione con chiave pubblica.

Ma se imposti il valore EXPIRE_DATEsu 1, l'account scadrà completamente e l'utente non sarà in grado di utilizzarlo in alcun modo. Questo perché 1 è uguale alla scadenza a 1970-01-01 00:00:01.

— Ravexina
fonte

Che ne dici usermod -L -e 300 username? L'account sarà completamente scaduto?

— Sinoosh,

@Sinoosh è in qualche modo lo stesso. la data di scadenza verrebbe impostata alla Oct 28, 1970scadenza dell'account.

— Ravexina,

Leggi questi: Come creare più chiavi SSH? , Come posso impostare le chiavi di autenticazione SSH? e come posso configurare l'accesso SSH senza password? .

— Ravexina,

@Ravexina Sarebbe meglio se in realtà la chiamassi "autenticazione con chiave pubblica SSH" nella tua risposta, perché è il meccanismo di autenticazione che sta bypassando la password, non SSH in sé;)

— marcelm

@marcelm hai ragione. Aggiornata la risposta ...

— Ravexina,

Poiché le chiavi SSH non si preoccupano delle password, è invece necessario che l'account muoia.

La vecchia saggezza era cambiare il guscio dell'utente in /bin/false; tuttavia questo in realtà non funziona.

— Giosuè
fonte

"cambia la shell dell'utente in / bin / false; tuttavia in realtà non funziona" [citazione necessaria]

— user60561

@ user60561 alcuni comandi ssh non usano la shell, come le porte forward.

— Giosuè,