Самый простой способ отключения пользовательского аккаунта – редактирование файла /etc/shadow, который отвечает за хранение зашифрованных паролей пользователей, перечисленных в файле /etc/passwd. Вот типичная запись пользовательского пароля в /etc/shadow:
tester:$6$KYriHdKR$Yku3LWgJmomsynpcle9BCA:15711:0:99999:7:::
Для отключения аккаунта достаточно просто добавить «*» или «!» перед зашифрованным паролем:
tester:!$6$KYriHdKR$Yku3LWgJmomsynpcle9BCA:15711:0:99999:7:::
То же самое можно сделать с помощью команды:
$ usermod -L tester
Любой метод авторизации, использующий для аутентификации пользователя файл /etc/shadow, больше не будет работать, так как расшифровать пароль будет невозможно:
$ su tester
Password:
su: Authentication failure
Для активации пользовательского аккаунта просто удалите «!» из файла /etc/shadow, или воспользуйтесь командой:
$ usermod -U tester
Важно помнить, что этот метод отключения пользовательских аккаунтов в Linux работает только для тех программ и команд, которые для аутентификации пользователей используют файл /etc/shadow. Например, если у пользователя уже есть ssh-ключ, он все равно сможет авторизоваться, несмотря на модификацию /etc/shadow.
Другой, и более безопасный способ отключения пользовательского аккаунта – заменить существующую программную оболочку пользователя на псевдооболочку, такую как /usr/sbin/nologin, которая при попытке авторизации выдает вежливое сообщение:
This account is currently not available.
Для этого модифицируйте файл /etc/password, изменив запись пользователя:
tester:x:1001:1001:Tester,User,,:/home/tester:/bin/bash
на
tester:x:1001:1001:Tester,User,,:/home/tester:/usr/sbin/nologin
После этого пользователь не сможет авторизоваться даже с правильным паролем:
$ su tester Password: This account is currently not available.