Configuramos nossas políticas de conta no PAM para seguir as diretrizes do RHEL7 STIG http://rhel7stig.readthedocs.io/en/latest/. Nós temos algumas contas de serviço onde seusas senhas estão vazias e usam chaves SSH para efetuar login. Após os 60 dias, a senha das contas de serviço expira e fica desativada. Este não é o comportamento que eu estava esperando por uma conta sem senha, eu não acho que a expiração da senha teria se aplicado a contas sem senha. Como eu digo ao PAM que não expire contas sem senha?
Em login.defs
PASS_MIN_DAYS 1
PASS_MAX_DAYS 60
PASS_WARN_AGE 7
FAIL_DELAY 4
Em / etc / default / useradd
INACTIVE=0
Respostas:
1 para resposta № 1Como o sistema não se importa se essas contas têm uma senha ou não, você terá que definir PASS_MAX_DAYS como 99999 ou o que parecer apropriado para essas contas.
1 para resposta № 2
Parece que preciso criar essas contas como contas do sistema. A partir da página man useradd ...
Usuários do sistema serão criados sem informações antigas em / etc / shadow - https://linux.die.net/man/8/useradd
Exemplo de comando
useradd testuser --system
Se você estiver usando o Ansible, poderá especificar o sistema no módulo do usuário.
- user:
name: testuser
group: testuser
system: yes
O resultado é visível em / etc / shadow. Não note nenhuma entrada max max password para o testuser.
[root@localhost ~]# useradd testuser --system
[root@localhost ~]# grep testuser /etc/shadow
testuser:!!:17417::::::
[root@localhost ~]# grep ryan /etc/shadow
ryan:*:18976:1:60:7:0::