RHEL6.4のパスワードの有効期限について

パスワードの有効期限が近づいたり切れたりしたらどうなるのか試してみました。

1.テスト

user2のパスワードの有効期限を確認。
[root@rhel64 ~]# chage -l user2
Last password change                                    : Feb 20, 2021
Password expires                                        : May 21, 2021
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 90
Number of days of warning before password expires       : 7

有効期限は90日で7日前に警告が出る設定。
Password inactive:パスワードが無効になった日からユーザIDが無効になるまでの日数
Account expires:アカウントが無効になる日
↑の設定の場合、パスワードの有効期限が切れてもアカウントは無効にならない

パスワード有効期限切れ3日前に設定
[root@rhel64 ~]# chage -M 45 user2
[root@rhel64 ~]# chage -l user2
Last password change                                    : Feb 20, 2021
Password expires                                        : Apr 06, 2021
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 45
Number of days of warning before password expires       : 7

ログインすると、
「Warning: your password will expire in 3 days」
と警告が表示される。
パスワード有効期限切れに設定
[root@rhel64 ~]# chage -M 40 user2
[root@rhel64 ~]# chage -l user2
Last password change                                    : Feb 20, 2021
Password expires                                        : Apr 01, 2021
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 40
Number of days of warning before password expires       : 7

有効期限が切れていてもログインは出来て、
ログインすると、
「You are required to change your password immediately (password aged)」
と表示され、パスワードの変更を要求される。
Password inactive:パスワードが無効になった日からユーザIDが無効になるまでの日数
を設定するには、
[root@rhel64 ~]# chage -I 20 user2
で設定できる。login.defsでは設定できない。

[root@rhel64 ~]# chage -l user2
Last password change                                    : Apr 03, 2021
Password expires                                        : May 13, 2021
Password inactive                                       : Jun 02, 2021
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 40
Number of days of warning before password expires       : 7

2.まとめ
login.defsでパスワード有効期限を設定して、有効期限が切れても
ログイン出来ないようにはならないことが確認できました。
chage -I で有効期限切れ後にロックをかける設定も出来ますが、
アクセス不要なユーザについては手動で削除やロックをかける運用とした方が
良さそうに思えました。

Comments are closed.