Hvis du administrerer et Linux-system, er en af de opgaver, du muligvis skal udføre, at administrere indstillingsadgangskoderne til brugerkonti. Som en del af denne proces skal du sandsynligvis administrere indstillingerne for både eksisterende og nye konti.
Håndtering af adgangskodeindstillingerne for eksisterende konti sker gennem "passwd" kommandoen, selvom der er andre alternativer. Du kan angive standardindstillinger for konti, der vil blive oprettet i fremtiden, men du sparer dig for manuelt at ændre standardindstillingerne for hver ny konto.
Indstillingerne er konfigureret i konfigurationsfilen "/etc/login.defs". Da filen er placeret i "/etc"-mappen, vil den kræve root-tilladelser for at redigere. For at undgå problemer, hvor du foretager ændringer og derefter ikke kan gemme dem, fordi du ikke har tilladelser, skal du sørge for at starte din foretrukne teksteditor med sudo.
Den sektion, du ønsker, er tæt på midten af filen og har titlen "Kontrol af adgangskodealdring". I den er der tre indstillinger, "PASS_MAX_DAYS", "PASS_MIN_DAYS" og "PASS_WARN_AGE". Disse bruges til at indstille, hvor mange dage en adgangskode kan være gyldig, før den skal nulstilles, hvor hurtigt efter en adgangskodeændring kan der foretages en anden, og hvor mange dages advarsel en bruger får, før deres adgangskode er udløbet.
"PASS_MAX_DAYS" er standard til 99999, som bruges til at angive, at adgangskoder ikke automatisk skal udløbe. "PASS_MIN_DAYS" er standard til 0, hvilket betyder, at brugere kan ændre deres adgangskode, så ofte de vil.
Tip: En minimumsgrænse for adgangskodealderen kombineres normalt med en adgangskodehistorikmekanisme i orden for at forhindre brugere i at ændre deres adgangskode og derefter straks ændre det tilbage til, hvad det plejede være.
"PASS_WARN_AGE" er som standard syv dage. Denne værdi bruges kun, hvis en brugers adgangskode faktisk er konfigureret til at udløbe.
Sådan konfigureres standardindstillingerne for ældning af adgangskode for nye konti
Hvis du vil konfigurere disse værdier, så adgangskoder automatisk udløber hver 90. dag, skal en minimumsalder på et år dag anvendes, og brugere advares 14 dage før de udløber, skal du indstille værdierne "90", "1" og "14" henholdsvis. Når du har foretaget de ønskede ændringer, skal du gemme filen. Alle nye konti, der oprettes, efter du har opdateret filen, vil have de indstillinger, du konfigurerede, anvendt på sig som standard.
Bemærk: Medmindre det er påbudt af politikker, bør du undgå at konfigurere adgangskoder til automatisk at udløbe over tid. NCSC, NIST og det bredere cybersikkerhedsfællesskab anbefaler nu, at adgangskoder kun udløber, når der er rimelig mistanke om, at de er blevet kompromitteret. Dette skyldes forskning, der har vist, at regelmæssige obligatoriske nulstilling af adgangskoder aktivt presser brugerne i retning af at vælge svagere og mere formel kodeord, som er nemmere at gætte. Når brugere ikke er tvunget til regelmæssigt at lave og huske en ny adgangskode, er de bedre til at skabe længere, mere komplekse og generelt stærkere adgangskoder.