Можно ли запретить пользователям изменять свои пароли с помощью PAM?

Системные пользовательские службы по умолчанию работают только до тех пор, пока для пользователя активен хотя бы один сеанс. Когда пользователь выходит из последней (или только )сессии, экземпляр systemd --userдля этого пользователя уничтожается. Вы можете изменить это, включив задержку пользовательских экземпляров systemd. Это делается для каждого пользователя с помощью следующей команды :loginctl enable-linger *username*. Когда задержка включена, пользовательские службы запускаются при загрузке и продолжают работать, даже если для пользователя нет активного сеанса.