Пароль с истекшим сроком и основанный на ключе вход в систему SSH с UsePAM да
если можно загрузиться в живое изображение и иметь внешний жесткий диск или карту флэш-памяти, можно использовать dd скопировать диск в другой файл.
dd bs=512 if=/dev/<your disk> of=/some_dir/foo.dmg conv=noerror,sync
порядок операций, который вызывает подсказку пароля с истекшим сроком, следующие:
- SSH выполняет этап учетной записи PAM
, который проверяет, что учетная запись существует и действительна.этап учетной записизамечает, что пароль истек и сообщает SSH. - SSH выполняет основанную на ключе аутентификацию. Этому не нужна PAM для этого, таким образом, это не работает
авторэтап. Это затем настраивает сессию входа в систему SSH и выполняет сессию PAM - Затем, SSH помнит, что PAM сказала ей, что пароль истек, печатает предупреждающее сообщение и просит, чтобы PAM сделала, чтобы пользователь изменил пароль. SSH затем разъединяется.
Все это - выполнение SSH, и я не вижу опций SSH настроить это поведение. Таким образом, если вы не хотите создать пользовательскую версию SSH и/или PAM, единственная опция, которую я вижу, состоит в том, чтобы препятствовать тому, чтобы PAM сообщила о пароле с истекшим сроком SSH. Если вы сделаете это, то это отключит истекшие проверки пароля по SSH полностью , даже если пользователь войдет в систему по SSH с паролем. Другие (non-SSH) методы входа в систему все еще проверят истечение пароля.
Ваш ток файл pam.d/sshd имеет , учетная запись включает запись общей учетной записи . Я предполагаю, что существует файл общей учетной записи , который содержит ссылку на pam_unix.so . Это - строка, которая проверяет на пароль с истекшим сроком.
Вы, вероятно, не хотите затрагивать сам файл общей учетной записи , так как он используется для других методов входа в систему. Вместо этого вы хотите удалить эти , включают от вашего файл pam.d/sshd . Если существуют другие функции в общая учетная запись , кроме того pam_unix.so , вы, вероятно, хотите поместить их непосредственно в pam.d/sshd.
Наконец, помните, что это - модификация к безопасности вашей системы, и вы не должны только вслепую доверять мне, чтобы дать вам хороший совет. Читать о том, как PAM работает, если вы незнакомы с нею. Некоторые стартовые места могли бы быть человек 7 PAM, человек 5 pam.conf, и человек 8 pam_unix.
- Возможно, вы не захотите изменять PAM или sshd_config для соответствия причины.
- Возможно, вы используете PasswordAuthentication no в sshd_config
- У вас могут быть случайные пароли.
- Возможно, вы даже реализовали соответствие требованиям CIS.
- Тем не менее ваши пользователи получают подсказку
Затем root может настроить дату изменения пароля:
for user in `grep ":x:[0-9]\{4\}" /etc/passwd|cut -d: -f1`; do chage -d today $user; done
Параметр был добавлен в pam _unix.so (примерно в феврале -2016 )под названием no _pass _expiry(исходный код изменить здесь или справочная страница здесь). По сути, он указывает pam _unix игнорировать пароль с истекшим сроком действия, если для аутентификации использовалось что-то другое, кроме pam _unix, например. если sshd выполнил авторизацию.
В результате, если у вас есть версия pam _unix.so, содержащая этот параметр, вы сможете настроить PAM на:
- По-прежнему выдается предупреждение, но не требуется изменение пароля с истекшим сроком действия, если для аутентификации через ssh использовался ключ SSH
- Требовать смену просроченного пароля, если для аутентификации по ssh использовался логин/пароль через pam _unix.so
- Не влияет на другие последовательности аутентификации (, например. через службу входа в систему ).
Например, я настроил сервер RHEL 7 для выполнения описанных выше действий, просто обновив файл /etc/pam.d/sshd и добавив pam _unix.so no _pass _expiration как для учетной записи, так и для типы паролей, например
account required pam_nologin.so
account sufficient pam_unix.so no_pass_expiry
account include password-auth
password sufficient pam_unix.so no_pass_expiry
password include password-auth