O envelhecimento da senha afeta as contas bloqueadas no Linux?

1

Eu tenho um requisito para alterar a configuração de maxdays de várias contas do Linux para 365 e a maioria das contas está bloqueada.

As configurações de duração da senha afetam essas contas? Minha preocupação é que eu os mude para o 365 (onde atualmente muitos deles são 99999 ou -1) e daqui a um ano algum processo que os usa não irá mais funcionar ou iniciar.

    
por Chris M. 15.11.2014 / 15:36

1 resposta

0

Parece que um serviço ainda pode ser iniciado se uma conta de usuário expirada for usada. Por exemplo:

[vagrant@localhost ~]$ sudo usermod --lock --expiredate 1970-02-02 apache

[vagrant@localhost ~]$ sudo chage -l apache
Last password change                                    : Nov 15, 2014
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : Feb 02, 1970
Minimum number of days between password change          : -1
Maximum number of days between password change          : -1
Number of days of warning before password expires       : -1

[vagrant@localhost ~]$ sudo service httpd stop
Stopping httpd:                                            [  OK  ]

[vagrant@localhost ~]$ ps -ef | grep apache
vagrant   4444  2503  0 14:52 pts/0    00:00:00 grep apache

[vagrant@localhost ~]$ sudo service httpd start
Starting httpd: httpd: Could not reliably determine the server's fully qualified domain name, using localhost.localdomain for ServerName
                                                           [  OK  ]
[vagrant@localhost ~]$ ps -ef | grep apache
apache    4459  4457  0 14:52 ?        00:00:00 /usr/sbin/httpd
apache    4460  4457  0 14:52 ?        00:00:00 /usr/sbin/httpd
apache    4461  4457  0 14:52 ?        00:00:00 /usr/sbin/httpd
apache    4462  4457  0 14:52 ?        00:00:00 /usr/sbin/httpd
apache    4463  4457  0 14:52 ?        00:00:00 /usr/sbin/httpd
apache    4464  4457  0 14:52 ?        00:00:00 /usr/sbin/httpd
apache    4465  4457  0 14:52 ?        00:00:00 /usr/sbin/httpd
apache    4466  4457  0 14:52 ?        00:00:00 /usr/sbin/httpd
vagrant   4468  2503  0 14:52 pts/0    00:00:00 grep apache

Como isso foi testado apenas para um produto, ele não prova que isso seja aplicável a todos os produtos de software.

A solução mais segura é verificar se determinados usuários que vão expirar são usados pelos processos executando ps -ef | grep username . Se um usuário não for usado por um processo, parece seguro definir uma data de expiração. Caso contrário, não defina uma data de expiração nem substitua o usuário. O último não deve ser necessário se os usuários nativos forem usados para executar processos. Por que alguém deve atribuir uma data de expiração para, por exemplo, apache e decide executar httpd por outro usuário além de apache ?

    
por 15.11.2014 / 16:46

Tags