Ha Linux rendszert kezel, az egyik feladat, amit el kell végeznie, a felhasználói fiókok beállítási jelszavainak kezelése. Ennek a folyamatnak a részeként valószínűleg kezelnie kell a meglévő és az új fiókok beállításait is.
A meglévő fiókokhoz tartozó jelszóbeállítások kezelése a „passwd” paranccsal történik, bár vannak más alternatívák is. Beállíthatja az alapértelmezett beállításokat a jövőben létrehozandó fiókokhoz, de megóvja Önt attól, hogy minden egyes új fióknál manuálisan módosítsa az alapértelmezett beállításokat.
A beállítások az „/etc/login.defs” konfigurációs fájlban vannak megadva. Mivel a fájl a „/etc” könyvtárban található, a szerkesztéséhez root jogosultság szükséges. Az olyan problémák elkerülése érdekében, amikor módosításokat hajt végre, majd nem tudja menteni azokat, mert nincs engedélye, győződjön meg arról, hogy a kívánt szövegszerkesztőt a sudo segítségével indítja el.
A kívánt szakasz a fájl közepe közelében található, és a „Jelszó öregedési vezérlői” címet viseli. Ebben három beállítás található: „PASS_MAX_DAYS”, „PASS_MIN_DAYS” és „PASS_WARN_AGE”. Illetve ezekkel lehet beállítani, hogy egy jelszó hány napig legyen érvényes, mielőtt vissza kell állítani, mennyi időn belül egy jelszómódosítás után egy másikat lehet végrehajtani, és hány napos figyelmeztetést kap a felhasználó a jelszava előtt lejárt.
A „PASS_MAX_DAYS” alapértelmezett értéke 99999, amely azt jelzi, hogy a jelszavak nem járnak le automatikusan. A „PASS_MIN_DAYS” alapértelmezett értéke 0, ami azt jelenti, hogy a felhasználók bármikor módosíthatják jelszavukat.
Tipp: A jelszavak életkorának minimális korlátját rendszerint a jelszóelőzmény-mechanizmussal kombinálják hogy a felhasználók ne változtassák meg jelszavukat, majd azonnal visszaállítsák a régire lenni.
A „PASS_WARN_AGE” alapértelmezett értéke hét nap. Ez az érték csak akkor használatos, ha a felhasználó jelszava valóban lejártra van konfigurálva.
Az alapértelmezett jelszó-öregedési beállítások konfigurálása új fiókokhoz
Ha úgy szeretné beállítani ezeket az értékeket, hogy a jelszavak 90 naponként automatikusan lejárjanak, legalább egy éves nap kerül alkalmazásra, és a felhasználók figyelmeztetést kapnak 14 nappal a lejárat előtt, állítsa be a „90”, „1” és „14” értékeket. illetőleg. Miután elvégezte a kívánt módosításokat, mentse a fájlt. A fájl frissítése után létrehozott új fiókok alapértelmezés szerint a konfigurált beállításokat alkalmazzák.
Megjegyzés: Hacsak a házirendek nem írják elő, kerülje a jelszavak idővel automatikusan lejárt konfigurálását. Az NCSC, a NIST és a szélesebb kiberbiztonsági közösség most azt javasolja, hogy a jelszavakat csak akkor járják le, ha megalapozottan gyanítható, hogy feltörték őket. Ez annak a kutatásnak köszönhető, amely kimutatta, hogy a rendszeres kötelező jelszó-visszaállítások aktívan arra késztetik a felhasználókat, hogy gyengébb és képletesebb jelszavakat válasszanak, amelyeket könnyebb kitalálni. Ha a felhasználókat nem kényszerítik arra, hogy rendszeresen új jelszót adjanak meg és emlékezzenek, jobban tudnak hosszabb, összetettebb és általában erősebb jelszavakat létrehozni.