次のようなコマンドを使用して、ロック解除されたユーザー・アカウントがあるかどうか定期的にシステムを確認します。

# for u in `cat /etc/passwd | cut -d: -f1 | sort`; do passwd -S $u; done
abrt LK 2012-06-28 0 99999 7 -1 (Password locked.)
adm LK 2011-10-13 0 99999 7 -1 (Alternate authentication scheme in use.)
apache LK 2012-06-28 0 99999 7 -1 (Password locked.)
avahi LK 2012-06-28 0 99999 7 -1 (Password locked.)
avahi-autoipd LK 2012-06-28 0 99999 7 -1 (Password locked.)
bin LK 2011-10-13 0 99999 7 -1 (Alternate authentication scheme in use.)
...

このコマンドの出力の2番目のフィールドに、ユーザー・アカウントがロックされているかどうか(LK)、パスワードがないかどうか(NP)、または有効なパスワードがあるかどうか(PS)が示されます。 3番目のフィールドには、ユーザーがパスワードを最後に変更した日付が示されます。 残りのフィールドには、パスワードの最小経過期間、最大経過期間、警告期間、パスワードの非アクティブ期間およびパスワードのステータスに関するその他の情報が示されます。 期間の単位は日数です。

保護されていないアカウントにパスワードを設定するには、passwdコマンドを使用します。

未使用のアカウントをロックするには、passwd -lを使用します。 userdelを使用して、アカウントを完全に削除することもできます。

詳細は、passwd(1)およびuserdel(8)の各マニュアル・ページを参照してください。

ユーザー・パスワードのエージング方法を指定するには、/etc/login.defsファイルで次の設定を編集します。

詳細は、login.defs(5)マニュアル・ページを参照してください。

ユーザー・アカウントが非アクティブになってからロックされるまでの期間を変更するには、usermodコマンドを使用します。 たとえば、非アクティブ期間を30日に設定します。

# usermod -f 30 username

新規ユーザー・アカウントのデフォルトの非アクティブ期間を変更するには、useraddコマンドを使用します。

# useradd -D -f 30

値-1は、非アクティブのためにユーザー・アカウントがロックされることはないことを示します。

詳細は、useradd(8)およびusermod(8)の各マニュアル・ページを参照してください。

root以外のユーザー・アカウントのユーザーIDが0でないことを確認します。

# awk -F":" '$3 == 0 { print $1 }' /etc/passwd
root

デフォルトのユーザー・アカウントとパスワードを作成するソフトウェアをインストールする場合は、ベンダーのデフォルト・パスワードをただちに変更します。 OpenLDAPなどのLDAP実装を使用する集中ユーザー認証は、ユーザー認証および管理タスクを簡易化するのに役立ちます。また、未使用のアカウントまたパスワードなしのアカウントから発生するリスクを減らすことができます。

デフォルトでは、Oracle Linuxシステムはrootとして直接ログインできないように構成されています。 事前に指定ユーザーとしてログインしてから、suまたはsudoを使用してrootとしてタスクを実行します。 この構成により、システム・アカウンティングで特権管理アクションを実行するユーザーの元のログイン名を追跡できます。 特定ユーザーにsudoを使用して特定の管理タスクを実行できる権限を付与するには、visudoコマンドを使用して/etc/sudoersファイルを変更します。 たとえば、次のエントリでは、ユーザーerinはsudoを使用した場合にrootと同じ権限を得ますが、frankにはchkconfig、service、rpm、yumなどのコマンドを実行できる限定された権限セットを定義しています。

erin           ALL=(ALL)       ALL
frank          ALL= SERVICES, SOFTWARE