web-dev-qa-db-ja.com

安全にパペットを介してユーザーのパスワードを無効にする方法は?

パスワード認証を無効にして公開鍵認証のみを使用するようにSSHサーバーを設定しています。

パペットを介してユーザーを追加するとき、ユーザーのパスワードを無効にしたいと思います。

これまでのところ、これはうまくいくようですが、これがどれほど安全かはわかりません:

user { 'john':
    ensure     => 'present',
    comment    => 'John Smith',
    groups     => ['adm','Sudo','wheel','users'],
    home       => '/home/john',
    managehome => true,
    Shell      => '/bin/bash',
    password   => '*',
}

使用しています password => '*'定義は、ユーザーパスワードを無効にするのに安全であると考えられていますか?

7
phoops

shadow(5) のmanページには、

たとえば、パスワードフィールドにcrypt(3)の有効な結果ではない文字列が含まれている場合、!または*、ユーザーはUNIXパスワードを使用してログインできなくなります(ただし、ユーザーは他の方法でシステムにログインできます)。

したがって、*を使用しても安全です。暗号化されたパスワードの最初の文字!は、パスワードがロックされている(passwd -l)ことを示すために passwd(1) によって使用され、これをロック解除できる(passwd -u)。

8
user9517