Eine Frage des LPI ist wie man einen Linux User komplett sperren kann.
Die Antwort ist relativ interessant, da die "lock" Methode der shadow-utils nur das Passwort deaktiviert, nicht aber den Account an sich.
Passwortlose SSH Anmeldungen sind so immer noch möglich.
Um daher einen Linux Systemaccount vollständig zu sperren sollte man folgendes tun:
usermod -L -e 1 username
-L deaktiviert das Passwort
-e 1 setzt das Verfallsdatum des Accounts auf ein bereits vergangenes Datum.
Entsperren kann man mit:
usermod -U -e -1 username
Siehe dazu auch den Kommentar zu "-L" in der Manpage von usermod: http://linux.die.net/man/8/usermod
Auch wenn der Artikel schon älter ist wird der ein oder andere noch darüber stolpern.
"usermod -U -e -1 username" funktioniert so nicht, da "-1" kein valides Datum ist, wenn man usermod nutzt. Entweder macht man es dann mit "chage -E -1 username" oder wenn man bei usermod bleiben will mit "usermod -U -e '' username", was das expire date auf never setzt.
/DerAdmin
-1 steht nicht für ein Datum sondern für das Entfernen des Verfallsdatums. Funktioniert bei mir problemlos.