ユーザーが有効なログインのウィンドウを延長できないようにする方法

RedHatボックスのセキュリティ強化手順に取り組んでおり、有効期限が切れるとユーザーがパスワードを変更できないようにすることが可能かどうかを知りたかった。

クライアントの1人の要件は、一時アカウントを介してのみサーバーにアクセスできることです。つまり、ユーザー資格情報が作成されたら、パスワードは4時間以内に期限切れになり、パスワードが期限切れになると、rootのみがそれを変更できるようになります。

最初の要件（4時間後に有効期限が切れるパスワード）の場合、passwordMaxAge = 144000を設定することで達成できると思います。しかし、パスワードの有効期限をオフにしない限り、ユーザーが期限切れのパスワードを変更できないようにする方法はまだ見つかりませんでした。

誰でも助けることができますか？

通常、パスワードの有効期限は、ユーザーにパスワードの変更を強制するために使用されます。あなたがしたいように聞こえるのは、アカウントをロックすることです。これは、すべてのログインを防ぎます。

代わりに、アカウントを作成するときに、4時間後にアカウントをロックするatジョブも設定することをお勧めします。

例えば：

useradd temp8143
echo chage -E 0 temp8143 | at now + 4 hours

（chage -E有効期限は日単位で与えられることを想定しているため、この問題をatジョブで回避します。）

passwdコマンドからsetuidビットを削除すると、rootのみがそれを使用できるようになります。これにより、ユーザーは、有効期限が切れる前にパスワードを変更できなくなります。そうしないと、ユーザーはさらに4時間アカウントを延長できます。

[jenny@finch ~] sudo chmod -s /usr/bin/passwd
[jenny@finch ~]$ passwd
Changing password for user jenny.
Changing password for jenny.
(current) UNIX password: 
New password: 
Retype new password: 
passwd: Authentication token manipulation error

ルートはまだパスワードを変更できます：

[jenny@finch ~]$ sudo passwd jenny
Changing password for user jenny.
New password: 
Retype new password: 
passwd: all authentication tokens updated successfully.