.jpg)
要禁止linux用戶(hù)修改密碼,可通過(guò)以下方法實(shí)現(xiàn):1. 使用sudo passwd -l username鎖定用戶(hù)密碼;2. 修改pam配置文件/etc/pam.d/passwd并結(jié)合/etc/passwd.access限制特定用戶(hù)或組使用passwd命令;3. 通過(guò)sudoers文件設(shè)置僅特定用戶(hù)組可執(zhí)行passwd命令并移除其他用戶(hù)的執(zhí)行權(quán)限。這些方法分別適用于不同場(chǎng)景,從簡(jiǎn)單鎖定到集中權(quán)限管理,操作前應(yīng)備份配置文件并在測(cè)試環(huán)境中驗(yàn)證,確保不影響系統(tǒng)正常訪問(wèn)與管理。
在linux系統(tǒng)中,有時(shí)我們需要限制某些用戶(hù)修改自己的密碼,比如為了安全策略或者防止誤操作。使用 passwd 命令可以實(shí)現(xiàn)對(duì)用戶(hù)密碼修改權(quán)限的控制。下面介紹幾種常見(jiàn)的方法,幫助你禁止用戶(hù)修改密碼。
禁用用戶(hù)修改密碼的方法
要阻止用戶(hù)更改自己的密碼,最直接的方式是通過(guò) passwd 命令鎖定用戶(hù)的密碼狀態(tài)。執(zhí)行以下命令即可:
- 使用 root 或有 sudo 權(quán)限的賬戶(hù)運(yùn)行:
sudo passwd -l username
這個(gè)命令會(huì)在 /etc/shadow 文件中將該用戶(hù)的密碼前加上一個(gè) !,表示密碼被鎖定。用戶(hù)仍然可以登錄(如果使用其他認(rèn)證方式,如ssh密鑰),但無(wú)法再通過(guò) passwd 修改密碼。
需要注意的是,這并不是完全禁止用戶(hù)修改密碼行為的最佳方案,因?yàn)橐坏┙怄i(使用 passwd -u),用戶(hù)就可以再次修改密碼。
更徹底地限制密碼修改權(quán)限
如果你希望更嚴(yán)格地限制用戶(hù)不能修改密碼,可以通過(guò)修改系統(tǒng)文件或設(shè)置PAM模塊來(lái)實(shí)現(xiàn)。
方法一:修改 /etc/pam.d/passwd 配置
PAM(Pluggable Authentication Modules)是Linux用于處理身份驗(yàn)證的模塊系統(tǒng)。你可以在這里添加規(guī)則,限制特定用戶(hù)或組使用 passwd 命令。
-
編輯 PAM 配置文件:
sudo vi /etc/pam.d/passwd
-
添加如下行以禁止某個(gè)用戶(hù)組修改密碼:
-
創(chuàng)建 /etc/passwd.access 文件,并添加限制規(guī)則:
-:ALL EXCEPT wheel: ALL
這樣配置后,只有屬于 wheel 組的用戶(hù)才能使用 passwd 命令,其他用戶(hù)則會(huì)被拒絕。
這種方式的好處是可以靈活控制不同用戶(hù)或組的權(quán)限,適合多用戶(hù)環(huán)境下的統(tǒng)一管理。
使用sudoers限制普通用戶(hù)執(zhí)行passwd權(quán)限
默認(rèn)情況下,任何用戶(hù)都可以運(yùn)行 passwd 來(lái)修改自己的密碼。如果你希望只有特定用戶(hù)才能執(zhí)行此命令,可以結(jié)合 sudo 和 visudo 來(lái)限制。
-
編輯 sudoers 文件:
sudo visudo
-
添加如下規(guī)則,只允許 admin 組用戶(hù)使用 passwd:
%admin ALL=(ALL) /usr/bin/passwd
-
移除其他用戶(hù)的執(zhí)行權(quán)限:
sudo chmod o-rx /usr/bin/passwd
這樣普通用戶(hù)即使嘗試運(yùn)行 passwd,也會(huì)提示權(quán)限不足。而管理員則可以通過(guò) sudo passwd username 來(lái)為用戶(hù)修改密碼。
這種方法適用于集中管理密碼修改權(quán)限的場(chǎng)景,尤其適合企業(yè)服務(wù)器。
注意事項(xiàng)與建議
- 測(cè)試環(huán)境先行:在正式環(huán)境中應(yīng)用這些限制之前,最好先在測(cè)試系統(tǒng)上驗(yàn)證,避免誤操作導(dǎo)致自己也無(wú)法修改密碼。
- 備份配置文件:修改 /etc/pam.d/passwd 或 /etc/sudoers 前,務(wù)必備份原文件,防止配置錯(cuò)誤引發(fā)問(wèn)題。
- 考慮替代登錄方式:如果用戶(hù)使用 SSH 密鑰登錄,即使密碼被鎖定也不會(huì)影響其訪問(wèn)系統(tǒng),這點(diǎn)需要提前評(píng)估。
基本上就這些方法了。雖然不是特別復(fù)雜,但在實(shí)際操作中容易忽略細(xì)節(jié),特別是權(quán)限和配置文件的語(yǔ)法問(wèn)題。只要按照步驟來(lái),就能有效控制用戶(hù)是否能修改密碼。
.png)
