Voici ce que j'aimerais pouvoir faire:
Une fois le compte d'un utilisateur créé, il doit pouvoir effectuer un sshtunnel, mais son compte est automatiquement supprimé après 30 jours, sauf si le compte à rebours est réinitialisé par l'utilisateur root.
Comment puis-je automatiser cela? Je vais devoir gérer une quinzaine d'utilisateurs.
Réponses:
Vous pouvez contrôler la durée de validité du compte d'un utilisateur en utilisant l' --expiredateoption to useradd.
extrait de la useraddpage de manuel
-e, --expiredate EXPIRE_DATE
The date on which the user account will be disabled. The date is
specified in the format YYYY-MM-DD.
If not specified, useradd will use the default expiry date specified
by the EXPIRE variable in /etc/default/useradd, or an empty string
(no expiry) by default.
Ainsi, lors de la configuration du compte de l'utilisateur, vous pouvez spécifier une date +30 jours dans le futur à partir de maintenant, et l'ajouter à votre useraddcommande lors de la configuration de leurs comptes.
$ useradd -e 2013-07-30 someuser
Vous pouvez également modifier la date d'un compte existant à l'aide de la chagecommande. Pour modifier la date d'expiration d'un compte, procédez comme suit:
$ chage -E 2013-08-30 someuser
Pour ce faire, il est en fait assez trivial d'utiliser la datecommande. Par exemple:
$ date -d "30 days"
Sun Jul 28 01:03:05 EDT 2013
Vous pouvez formater en utilisant les +FORMAToptions de la datecommande, ce qui finit par vous donner les éléments suivants:
$ date -d "30 days" +"%Y-%m-%d"
2013-05-28
Donc, connaissant les pièces ci-dessus, voici une façon de les assembler. Tout d'abord, lorsque vous créez un compte, vous exécutez cette commande:
$ useradd -e `date -d "30 days" +"%Y-%m-%d"` someuser
Ensuite, lorsque vous souhaitez ajuster leurs dates d'expiration, vous exécutez régulièrement cette commande:
$ chage -E `date -d "30 days" +"%Y-%m-%d"` someuser
Si vous souhaitez qu'un utilisateur ne soit actif que pendant quelques minutes, vous ne pouvez pas utiliser les options ci-dessus car elles nécessitent de spécifier une date. Dans ce cas, vous pouvez soit configurer un crontabpour supprimer / verrouiller l'utilisateur créé après l'heure spécifiée (par exemple, 10 minutes), soit effectuer l'une des actions suivantes:
adduser someuser && sleep 600 && usermod --lock someuser
ou
$ adduser someuser
$ echo usermod --lock someuser | at now + 10 minutes
Si vous êtes sur Debian / Ubuntu, vous devez utiliser adduseret usermod. Sur les systèmes basés sur Debian useraddest considéré comme de bas niveau et (selon les pages de manuel):administrators should usually use adduser(8) instead
adduser n'a pas d'option d'expiration, il vous suffit donc de l'utiliser pour créer le compte.
usermoda l' option -e/ --expiredatepour définir la date d'expiration.
Vous calculez le paramètre à dateavec: date -d "30 days" "+%Y-%m-%d"pour obtenir:
usermod --expiredate $(date -d "30 days" "+%Y-%m-%d") username
Une autre façon (si votre système d'exploitation ne prend pas en charge l'expiration du compte ou si cette fonctionnalité ne fonctionne pas pour une raison quelconque): configurez une tâche cron pour qu'elle s'exécute dans 30 jours et verrouille ce compte.
Habituellement, le compte est verrouillé en définissant son mot de passe crypté sur une valeur non valide; sur FreeBSD, la pw lock Xcommande verrouille le compte X.