Ако управлявате Linux система, една от задачите, които може да трябва да направите, е да управлявате паролите за настройки за потребителски акаунти. Като част от този процес вероятно ще трябва да управлявате настройките както за съществуващи, така и за нови акаунти.
Управлението на настройките на паролата за съществуващи акаунти се извършва чрез командата „passwd“, въпреки че има и други алтернативи. Можете да зададете настройки по подразбиране за акаунти, които ще бъдат създадени в бъдеще, обаче, спестявайки ви от ръчна промяна на настройките по подразбиране за всеки нов акаунт.
Настройките се конфигурират в конфигурационния файл “/etc/login.defs”. Тъй като файлът се намира в директорията „/etc“, той ще изисква root права за редактиране. За да избегнете проблеми, при които правите промени, след което не можете да ги запазите, защото нямате разрешения, уверете се, че стартирате предпочитания от вас текстов редактор с sudo.
Секцията, която искате, е близо до средата на файла и е озаглавена „Контроли за стареене на паролата“. В него има три настройки „PASS_MAX_DAYS“, „PASS_MIN_DAYS“ и „PASS_WARN_AGE“. Съответно те се използват, за да зададете колко дни може да бъде валидна паролата, преди да се наложи да бъде нулирана, колко скоро след една промяна на паролата може да се направи друга и колко дни предупреждение получава потребителят преди паролата му просрочен.
„PASS_MAX_DAYS“ по подразбиране е 99999, което се използва, за да посочи, че паролите не трябва да изтичат автоматично. „PASS_MIN_DAYS“ по подразбиране е 0, което означава, че потребителите могат да променят паролата си толкова често, колкото пожелаят.
Съвет: Минималното ограничение за възрастта на паролата обикновено се комбинира с механизъм за хронология на паролите по ред за да попречи на потребителите да променят паролата си и след това незабавно да я променят обратно към това, което преди бъда.
„PASS_WARN_AGE“ по подразбиране е седем дни. Тази стойност се използва само ако паролата на потребителя действително е конфигурирана да изтече.
Как да конфигурирате настройките за стареене на паролата по подразбиране за нови акаунти
Ако искате да конфигурирате тези стойности, така че паролите да изтичат автоматично на всеки 90 дни, минимална възраст от един ден се прилага и потребителите са предупредени 14 дни преди да изтекат, трябва да зададете стойностите „90“, „1“ и „14“ съответно. След като направите желаните промени, запазете файла. Всички нови акаунти, създадени след актуализиране на файла, ще имат настройките, които сте конфигурирали, приложени към него по подразбиране.
Забележка: Освен ако не е задължено от правилата, трябва да избягвате конфигурирането на паролите да изтичат автоматично с течение на времето. NCSC, NIST и по-широката общност за киберсигурност сега препоръчват паролите да са с изтекъл срок само когато има разумно подозрение, че са били компрометирани. Това се дължи на изследвания, които показват, че редовните задължителни нулирани пароли активно подтикват потребителите да избират по-слаби и по-формулни пароли, които са по-лесни за отгатване. Когато потребителите не са принудени редовно да създават и запомнят нова парола, те са по-добри в създаването на по-дълги, по-сложни и като цяло по-силни пароли.