если можно загрузиться в живое изображение и иметь внешний жесткий диск или карту флэш-памяти, можно использовать dd
скопировать диск в другой файл.
dd bs=512 if=/dev/<your disk> of=/some_dir/foo.dmg conv=noerror,sync
порядок операций, который вызывает подсказку пароля с истекшим сроком, следующие:
, который проверяет, что учетная запись существует и действительна. этап учетной записи
замечает, что пароль истек и сообщает SSH.
автор
этап. Это затем настраивает сессию входа в систему SSH и выполняет сессию PAM
этап. Все это - выполнение SSH, и я не вижу опций SSH настроить это поведение. Таким образом, если вы не хотите создать пользовательскую версию SSH и/или PAM, единственная опция, которую я вижу, состоит в том, чтобы препятствовать тому, чтобы PAM сообщила о пароле с истекшим сроком SSH. Если вы сделаете это, то это отключит истекшие проверки пароля по SSH полностью , даже если пользователь войдет в систему по SSH с паролем. Другие (non-SSH) методы входа в систему все еще проверят истечение пароля.
Ваш ток файл pam.d/sshd
имеет , учетная запись включает запись общей учетной записи
. Я предполагаю, что существует файл общей учетной записи
, который содержит ссылку на pam_unix.so
. Это - строка, которая проверяет на пароль с истекшим сроком.
Вы, вероятно, не хотите затрагивать сам файл общей учетной записи
, так как он используется для других методов входа в систему. Вместо этого вы хотите удалить эти , включают
от вашего файл pam.d/sshd
. Если существуют другие функции в общая учетная запись
, кроме того pam_unix.so
, вы, вероятно, хотите поместить их непосредственно в pam.d/sshd
.
Наконец, помните, что это - модификация к безопасности вашей системы, и вы не должны только вслепую доверять мне, чтобы дать вам хороший совет. Читать о том, как PAM работает, если вы незнакомы с нею. Некоторые стартовые места могли бы быть человек 7 PAM
, человек 5 pam.conf
, и человек 8 pam_unix
.
Затем root может настроить дату изменения пароля:
for user in `grep ":x:[0-9]\{4\}" /etc/passwd|cut -d: -f1`; do chage -d today $user; done
Параметр был добавлен в pam _unix.so (примерно в феврале -2016 )под названием no _pass _expiry(исходный код изменить здесь или справочная страница здесь). По сути, он указывает pam _unix игнорировать пароль с истекшим сроком действия, если для аутентификации использовалось что-то другое, кроме pam _unix, например. если sshd выполнил авторизацию.
В результате, если у вас есть версия pam _unix.so, содержащая этот параметр, вы сможете настроить PAM на:
Например, я настроил сервер RHEL 7 для выполнения описанных выше действий, просто обновив файл /etc/pam.d/sshd и добавив pam _unix.so no _pass _expiration как для учетной записи, так и для типы паролей, например
account required pam_nologin.so
account sufficient pam_unix.so no_pass_expiry
account include password-auth
password sufficient pam_unix.so no_pass_expiry
password include password-auth