方法1:使用 passwd 锁定和解锁用户
关于 passwd 命令,该命令主要用于管理账户密码,也可以用于锁定用户。passwd命令主要操作的是 /etc/passwd 文件。尽管这个文件可以手动修改,但一般不建议这样做。要使用 passwd 命令锁定用户,可以使用 -l 或 --lock 选项:
passwd -l username
锁定(或解锁)后,可以使用 passwd 命令的 -S 或 -status 选项来检查用户的当前状态:
passwd -S username
其输出及说明,本文就不在赘述了。解锁用户,使用 -u 或 –unlock 选项:
passwd -u username
通过这种方式锁定用户存在一个问题,因为它是作用于 /etc/passwd 文件。因此,被锁定的用户如果设置了通过 SSH 密钥登录,仍然可以通过 SSH 访问。我们将在下一节介绍如何处理这个问题
方法2:使用 usermod 命令锁定和解锁用户
usermod命令主要用于修改 Linux 系统中的用户账户,也可以用于锁定或解锁用户账户。要锁定用户,可以使用 usermod 命令的 -L 选项:
usermod -L username
解锁用户,使用 -U 选项:
usermod -U username
锁定或解锁用户后,如何验证操作是否成功呢?由于 usermod 命令也作用于 /etc/passwd 文件,可以使用 passwd -S 命令来检查用户的状态。
不过,既然 usermod 也作用于 /etc/passwd 文件,这意味着被锁定的用户仍然可以通过 SSH 密钥登录。如何解决这个问题呢?有几种方法可以考虑:
- 将用户的 shell 更改为 nologin,这样用户将无法登录 shell。关于如何修改 shell,我们将在以后单独介绍,感兴趣的朋友可以先行查阅相关资料。
- 为用户设置一个已过期的日期作为账户的过期日期,这样账户也会被锁定。这个日期需要确保在 2024-01-02 和当前日期之间。
usermod -L --expiredate 2024-01-02 username
通过上述方法锁定的用户,解锁的时候,可以使用如下方法:
usermod -U --expiredate '' username
方法3:使用 chage 命令锁定和解锁用户
chage 命令用于更改用户的密码到期信息。它还可以设置在特定天数不活动后自动锁定用户。
实际上,上述方法 2 的操作也可以通过以下所示的 chage 命令来实现:
chage -E 1 username
使用上述命令,就可以将过期日期设置为 2024-01-02,可以通过如下方式查看详细信息:
$ sudo chage -l standard
Last password change: Nov 07, 2019
Password expires: never
Password inactive: never
Account expires: Jan 02, 2024
Minimum number of days between password change: 0
Maximum number of days between password change: 99999
Number of days of warning before password expires: 7
要解锁用户,可以通过如下方式删除到期日期:
chage -E -1 username