Linux: Kako konfigurirati zadane postavke starenja lozinke za nove račune

Ako upravljate Linux sustavom, jedan od zadataka koji ćete možda morati učiniti je upravljanje lozinkama postavki za korisničke račune. Kao dio ovog procesa, vjerojatno ćete morati upravljati postavkama za postojeće i nove račune.

Upravljanje postavkama lozinke za postojeće račune vrši se putem naredbe "passwd", iako postoje i druge alternative. Možete postaviti zadane postavke za račune koji će biti stvoreni u budućnosti, međutim, štedi vas od ručne promjene zadanih postavki za svaki novi račun.

Postavke se konfiguriraju u konfiguracijskoj datoteci “/etc/login.defs”. Kako se datoteka nalazi u direktoriju “/etc”, za uređivanje će joj trebati root prava. Kako biste izbjegli probleme u kojima unosite promjene, a zatim ih ne možete spremiti jer nemate dopuštenja, provjerite jeste li pokrenuli željeni uređivač teksta pomoću sudo.

Odjeljak koji želite nalazi se blizu sredine datoteke i naslovljen je "Kontrole starenja lozinke". U njemu se nalaze tri postavke, “PASS_MAX_DAYS”, “PASS_MIN_DAYS” i “PASS_WARN_AGE”. Odnosno, oni se koriste za postavljanje koliko dana lozinka može biti važeća prije nego što je treba poništiti, koliko brzo nakon jedne promjene lozinke može se napraviti druga, te koliko dana upozorenje korisnik dobiva prije nego što je njegova lozinka istekao.

Zadane vrijednosti za kontrole starenja lozinke mogu se pronaći i konfigurirati u datoteci “/etc/login.defs”.

“PASS_MAX_DAYS” je zadana vrijednost 99999 što se koristi za označavanje da lozinke ne bi trebale automatski isteći. “PASS_MIN_DAYS” je zadana vrijednost 0 što znači da korisnici mogu mijenjati svoju lozinku koliko god često žele.

Savjet: Minimalno ograničenje starosti zaporke obično se kombinira s mehanizmom povijesti zaporke u redoslijedu kako bi spriječili korisnike da promijene svoju lozinku, a zatim je odmah vrate na ono što je prije biti.

"PASS_WARN_AGE" je zadano na sedam dana. Ova se vrijednost koristi samo ako je korisnička lozinka stvarno konfigurirana da istekne.

Kako konfigurirati zadane postavke starenja lozinke za nove račune

Ako želite konfigurirati ove vrijednosti tako da lozinke automatski istječu svakih 90 dana, minimalna dob od godinu dana dan se primjenjuje, a korisnici su upozoreni 14 dana prije nego što isteknu da trebate postaviti vrijednosti "90", "1" i "14" odnosno. Nakon što izvršite željene promjene, spremite datoteku. Svi novi računi koji se kreiraju nakon ažuriranja datoteke prema zadanim će postavkama imati primijenjene postavke koje ste konfigurirali.

Vrijednosti "90", "1" i "14" respektivno, konfiguriraju lozinke da automatski istječu svakih 90 dana, mijenjaju se na najčešće jednom dnevno, a korisnicima davati upozorenja da je njihova lozinka potrebno promijeniti četrnaest dana prije toga ističe.

Napomena: Osim ako to ne nalažu pravila, trebali biste izbjegavati konfiguriranje zaporki tako da s vremenom isteknu automatski. NCSC, NIST i šira zajednica kibernetičke sigurnosti sada preporučuju da lozinke isteku samo kada postoji opravdana sumnja da su kompromitirane. To je zbog istraživanja koje je pokazalo da redovita obvezna poništavanja lozinki aktivno potiču korisnike prema odabiru slabijih i formulativnijih lozinki koje je lakše pogoditi. Kada korisnici nisu prisiljeni redovito izrađivati ​​i pamtiti novu zaporku, bolji su u stvaranju dužih, složenijih i općenito jačih lozinki.