为什么 UNIX 用户必须有密码？

Question

我正在树莓派上配置 ssh 服务器，使其仅支持基于密钥的身份验证。

我已经在服务器上创建了一个用户，并使用我的公钥和正确的权限设置了 ~/.ssh 目录。

用户当前被标记为“锁定”，因为它没有密码。这会导致 openssh 拒绝连接。

# /var/log/auth.log

Aug  9 09:05:26 raspberrypi sshd[6875]: User foo not allowed because account is locked
Aug  9 09:05:26 raspberrypi sshd[6875]: input_userauth_request: invalid user foo [preauth]
Aug  9 09:05:26 raspberrypi sshd[6875]: Connection closed by 192.168.0.4 [preauth]

理想情况下，我不需要密码。我已经通过 PKI 进行了身份验证。

也许我可以将密码设置为“密码”或随机字符串 - 但这看起来很乱。

有什么建议吗？

编辑：

澄清一下，我的帐户被锁定是因为它没有密码，即

$ passwd -u foo
passwd: unlocking the password would result in a passwordless account.
You should set a password with usermod -p to unlock the password of this account.

Petesh 解决方案是正确的：

usermod -p '*' foo

来自 shadow 的手册页：

"如果密码字段包含一些不是 crypt(3) 有效结果的字符串，例如 ! 或 *，用户将无法使用 unix 密码登录（但用户可以登录系统通过其他方式）。”

Answer 1

不，它告诉您该帐户已锁定，而不是它没有密码。您锁定和帐户以防止人们使用该帐户登录；甚至通过 SSH。您通常只能使用su 或sudo 切换到锁定帐户。

shadow 手册页中描述了这些规则：

如果密码字段包含一些不是 crypt(3) 的有效结果的字符串，例如！或*，用户将无法使用unix密码登录（但用户可以通过其他方式登录系统）。

逻辑是*永远不会匹配密码，但并不意味着锁定，而!意味着锁定。

此加密密码通常存储在影子文件中，可以使用 passwd 命令或usermod 命令更改。如果您希望将密码更改为不起作用的密码，则可以更改为以* 开头的密码，它永远不会匹配密码，例如，使用usermod 命令：

bubble ~ [2]> sudo usermod -L freerad
bubble ~> sudo grep freerad /etc/shadow
freerad:!*:16197:0:99999:7:::

这是一个锁定的 freerad 帐户。即使您使用公钥/私钥对，ssh 也会阻止您使用该帐户登录。

bubble ~> sudo usermod -p '*' freerad
bubble ~> sudo grep freerad /etc/shadow
freerad:*:16291:0:99999:7:::

这个 freerad 帐户有一个永远无法匹配的密码。该帐户未锁定，但如果您使用 ssh 公钥/私钥登录，它不会阻止您登录。

Answer 2

尝试用

解锁

passwd -u foo

被锁定和没有密码是两件事。