Linux账户密码过期安全策略设置、Linux账号密码过期会导致crontab作业不能执行
最近因用oracle用户执行shell脚本做定时备份脚本任务,在执行crontab命令有如下报错:
$ crontab -l You (oracle) are not allowed to access to (crontab) because of pam configuration.
在网上找了些资料解决方式说明如下:
在Linux系统管理中,有时候需要设置账号密码复杂度(长度)、密码过期策略等,这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制,里面的参数主要有下面一些:
/etc/login.defs:
# cat /etc/login.defs # # Please note that the parameters in this configuration file control the # behavior of the tools from the shadow-utils component. None of these # tools uses the PAM mechanism, and the utilities that use PAM (such as the # passwd command) should therefore be configured elsewhere. Refer to # /etc/pam.d/system-auth for more information. # # *REQUIRED* # Directory where mailboxes reside, _or_ name of file, relative to the # home directory. If you _do_ define both, MAIL_DIR takes precedence. # QMAIL_DIR is for Qmail # #QMAIL_DIRMaildir MAIL_DIR/var/spool/mail #新建用户邮件目录 #MAIL_FILE.mail # Password aging controls: # #PASS_MAX_DAYSMaximum number of days a password may be used. #PASS_MIN_DAYSMinimum number of days allowed between password changes. #PASS_MIN_LENMinimum acceptable password length. #PASS_WARN_AGENumber of days warning given before a password expires. # PASS_MAX_DAYS30 #密码最大有效期,此处参数PASS_MAX_DAYS为30,表示60天后,密码会过期。99999表示永不过期。 PASS_MIN_DAYS7 #两次修改密码的最小间隔时间,0表示可以随时修改账号密码 PASS_MIN_LEN8 #密码最小长度,对于root无效 PASS_WARN_AGE7 #密码过期前多少天开始提示(过期7天开始提醒) # # Min/max values for automatic uid selection in useradd # UID_MIN 1000 #用户ID的最小值(新建用户uid从1000开始) UID_MAX 60000 #用户ID的最大值(最大uid为60000) # System accounts SYS_UID_MIN 201 SYS_UID_MAX 999 # # Min/max values for automatic gid selection in groupadd # GID_MIN 1000 #组ID最小值(新建用户GID从1000开始) GID_MAX 60000 #组ID最大值(最大为60000) # System accounts SYS_GID_MIN 201 SYS_GID_MAX 999 # # If defined, this command is run when removing a user. # It should remove any at/cron/print jobs etc. owned by # the user to be removed (passed as the first argument). # #USERDEL_CMD/usr/sbin/userdel_local USERDEL_CMD #默认注释状态,如果定义了该变量,表示当删除一个user时,应删除/打印/ cron的工作等所拥有的用户被删除(作为第一个参数传递)。 # # If useradd should create home directories for users by default # On RH systems, we do. This option is overridden with the -m flag on # useradd command line. # CREATE_HOMEyes CREATE_HOME #表示是否创建用户home目录(要不要创建家目录)。 # The permission mask is initialized to this value. If not specified, # the permission mask will be initialized to 022. UMASK 077 UMASK #权限掩码初始化值(家目录权限) # This enables userdel to remove user groups if no members exist. # USERGROUPS_ENAB yes USERGROUPS_ENAB #该参数启用,表示userdel删除用户时,如果该用户用户组如果没有成员存在,则会删除该用户组(删除用户的时候是否同时删除用户组) # Use SHA512 to encrypt password. ENCRYPT_METHOD SHA512 #密码加密规则
修改了/etc/login.defs下参数时,会立即生效,但是它只对修改后创建的用户生效。例如修改了PASS_MAX_DAYS参数等后,我们新建一个用户oracle。
# cat /etc/shadow |grep oracle oracle:$6$lHwtkVv30/OimAws9fMOG0lTpvrE6vIYGRUQpERYp4yvOLwg6/1EZJF55L81:18397:7:99999:7::: # cat /etc/passwd |grep oracle oracle:x:1000:1000::/home/oracle:/bin/bash
因为CREATE_HOME为yes,所以创建用户test后,就会默认在/home目录下创建oracle目录,这个可以在添加用户的规则文件/etc/default/useradd里面查看或修改
# cat /etc/default/useradd # useradd defaults file GROUP=100 HOME=/home #把用户的主目录建在/home中 INACTIVE=-1 #是否启用帐号过期停权,-1表示不启用 EXPIRE= #帐号终止日期,不设置表示不启用 SHELL=/bin/bash #所用SHELL的类型 SKEL=/etc/skel #默认添加用户的目录默认文件存放位置;也就是说,当我们用adduser添加用户时,用户家目录下的文件,都是从这个目录中复制过去的 CREATE_MAIL_SPOOL=yes
如果此时,假如用户oracle有特殊需求,要求这个账号的密码永不过期,此时就可以使用chage命令来处理(关于chage命令,此处不做展开)
chage -M 99999 oracle