Linux: Jak nakonfigurovat výchozí nastavení stárnutí hesla pro nové účty

Pokud spravujete systém Linux, jedním z úkolů, které možná budete muset udělat, je správa hesel nastavení pro uživatelské účty. V rámci tohoto procesu budete pravděpodobně muset spravovat nastavení pro stávající i nové účty.

Správa nastavení hesel pro stávající účty se provádí pomocí příkazu „passwd“, i když existují i ​​​​jiné alternativy. Můžete nastavit výchozí nastavení pro účty, které budou vytvořeny v budoucnu, ale ušetříte si ruční změnu výchozích nastavení pro každý nový účet.

Nastavení se konfigurují v konfiguračním souboru „/etc/login.defs“. Protože je soubor umístěn v adresáři „/etc“, bude k úpravám vyžadovat oprávnění root. Abyste se vyhnuli problémům, kdy provedete změny a nebudete je moci uložit, protože nemáte oprávnění, ujistěte se, že jste spustili preferovaný textový editor pomocí sudo.

Sekce, kterou chcete, je blízko středu souboru a má název „Ovládání stárnutí hesel“. V něm jsou tři nastavení, „PASS_MAX_DAYS“, „PASS_MIN_DAYS“ a „PASS_WARN_AGE“. Respektive tyto se používají k nastavení, kolik dní může být heslo platné, než bude nutné resetovat, jak brzy po jedné změně hesla lze provést další a kolik dní uživatel dostane varování před tím, než je jeho heslo platnost vypršela.

Výchozí hodnoty pro ovládání stárnutí hesel lze nalézt a nakonfigurovat v souboru „/etc/login.defs“.

Výchozí hodnota „PASS_MAX_DAYS“ je 99999, která se používá k označení, že platnost hesel by neměla automaticky vypršet. Výchozí hodnota „PASS_MIN_DAYS“ je 0, což znamená, že uživatelé mohou své heslo měnit tak často, jak chtějí.

Tip: Minimální limit stáří hesla se běžně kombinuje s mechanismem historie hesel zabránit uživatelům ve změně hesla a následné okamžité změně zpět na to, co bylo dříve být.

Výchozí hodnota „PASS_WARN_AGE“ je sedm dní. Tato hodnota se používá pouze v případě, že je heslo uživatele skutečně nakonfigurováno tak, aby vypršelo.

Jak nakonfigurovat výchozí nastavení stárnutí hesla pro nové účty

Pokud chcete tyto hodnoty nakonfigurovat tak, aby platnost hesel automaticky vypršela každých 90 dní, minimální věk je jeden rok den se použije a uživatelé jsou upozorněni 14 dní před vypršením platnosti, měli byste nastavit hodnoty „90“, „1“ a „14“ resp. Jakmile provedete požadované změny, uložte soubor. Na všechny nové účty, které se vytvoří po aktualizaci souboru, se ve výchozím nastavení použije nastavení, které jste nakonfigurovali.

Hodnoty „90“, „1“ a „14“ konfigurují hesla tak, aby automaticky vypršela každých 90 dní, lze je změnit na nejčastěji jednou denně a poskytuje uživatelům varování, že jejich heslo je třeba změnit čtrnáct dní před tím vyprší.

Poznámka: Pokud to není nařízeno zásadami, měli byste se vyhnout konfiguraci hesel tak, aby jejich platnost časem automaticky vypršela. NCSC, NIST a širší komunita kybernetické bezpečnosti nyní doporučují, aby platnost hesel vypršela pouze tehdy, existuje-li důvodné podezření, že byla prozrazena. Důvodem je výzkum, který ukázal, že pravidelné povinné resetování hesel aktivně tlačí uživatele k volbě slabších a srozumitelnějších hesel, která lze snadněji uhodnout. Když uživatelé nejsou nuceni pravidelně vytvářet a pamatovat si nové heslo, jsou lepší ve vytváření delších, složitějších a obecně silnějších hesel.