Ако управлявате Linux машина с множество потребители, понякога може да искате или трябва да накарате потребител да промени паролата си. Най-вероятната причина за това изискване е сценарий за първа употреба. Други потенциални причини за промяна на парола, като например, че потребителят я забравя, като паролата е компрометирано или задължително редовно повтаряне на паролата всъщност не работи с концепцията за ръчно изтичане на паролата.
Когато паролата за Linux изтече, от потребителя се изисква да я промени следващия път, когато влезе. Ако потребител е забравил паролата си, той никога няма да може да влезе, след което да промени паролата си. Ако паролата на потребителя е компрометирана, тя трябва да бъде променена незабавно; изтичането му крие риск хакерът първо да влезе в акаунта и след това да може да зададе паролата на произволна стойност. Ако имате политика за изискване на редовно нулиране на паролата, тогава това трябва да се управлява автоматично чрез задаване на максимална възраст на паролата, вместо ръчно изтичане на паролите.
Забележка: В идеалния случай вече не трябва редовно да изтичате паролите, NCSC и NIST, както и по-голямата общност за киберсигурност имат промениха обществените си насоки поради изследвания, които показаха, че това прави хората по-склонни да избират слаби и шаблонни пароли. Насоките вече са да карате потребителите да променят паролите само когато има разумно подозрение, че паролата е била компрометирана. Като не принуждават потребителите редовно да запомнят нови пароли, те са по-склонни да създадат и запомнят по-дълга, по-сложна и силна парола.
Когато за първи път създавате акаунт за потребител, обикновено той се създава с временна парола. След това потребителят трябва да промени тази парола на нещо, което може да запомни при първия път, когато влезе.
Как да принудим да изтече паролата
За да маркирате парола като „изтекла“ и да принудите потребителя да промени паролата си следващия път, когато влезе, искате да използвате командата „passwd“ заедно с флага „-e“. Флагът "-e" незабавно изтича паролата за акаунти, което ще ги принуди да сменят паролата си следващия път, когато влязат.
Пълната команда ще бъде „sudo passwd -e [потребителско име]“. Sudo е необходим, тъй като командата изисква root права за изпълнение.
