Mengapa kami harus kedaluwarsa pada akun yang terkunci untuk sepenuhnya mencegah akses?

Dari man usermod:

Catatan: jika Anda ingin mengunci akun (tidak hanya akses dengan kata sandi), Anda juga harus mengatur EXPIRE_DATE menjadi 1.

Mengapa kami harus kedaluwarsa pada akun yang terkunci untuk benar-benar mencegah akses ke akun?
Apa yang akan terjadi jika saya tidak kedaluwarsa pada akun yang terkunci?

users user-management accounts

— Sinoosh
sumber

Jawaban:

usermod -L sebenarnya hanya mengunci kata sandi pengguna, sehingga pengguna masih dapat masuk menggunakan metode lain misalnya sesi ssh yang menggunakan otentikasi kunci publik.

Tetapi jika Anda mengatur EXPIRE_DATEke 1, akun akan sepenuhnya kedaluwarsa dan pengguna tidak dapat menggunakannya dengan cara apa pun. Ini karena 1 sama dengan yang kedaluwarsa pada 1970-01-01 00:00:01.

— Ravexina
sumber

Bagaimana dengan usermod -L -e 300 username? Akun akan kedaluwarsa sepenuhnya?

— Sinoosh

@Sinoosh itu entah bagaimana sama. tanggal kedaluwarsa akan ditetapkan untuk Oct 28, 1970membuat akun kedaluwarsa.

— Ravexina

Baca ini: Cara membuat beberapa kunci ssh? , Bagaimana cara mengatur kunci otentikasi SSH? dan Bagaimana cara mengatur login SSH-less-password? .

— Ravexina

@Ravexina Akan lebih baik jika Anda benar-benar menyebutnya "otentikasi kunci publik SSH" dalam jawaban Anda, karena itu adalah mekanisme otentikasi yang mem-bypass kata sandi, bukan SSH per se;)

— marcelm

@marcelm kamu benar. Diperbarui jawabannya ...

— Ravexina

Karena kunci ssh tidak peduli dengan kata sandi, Anda memerlukan akun untuk mati.

Kebijaksanaan lama adalah mengubah shell pengguna menjadi /bin/false; Namun ini sebenarnya tidak berhasil.

— Joshua
sumber

"ubah shell pengguna ke / bin / false; namun ini tidak benar-benar berfungsi" [rujukan?]

— user60561

@ user60561 beberapa perintah ssh tidak menggunakan shell, seperti meneruskan port.

— Joshua