Se gestisci un sistema Linux, una delle attività che potresti dover svolgere è gestire le password delle impostazioni per gli account utente. Come parte di questo processo, probabilmente dovrai gestire le impostazioni sia per gli account esistenti che per quelli nuovi.
La gestione delle impostazioni della password per gli account esistenti viene eseguita tramite il comando "passwd", sebbene esistano altre alternative. È possibile impostare le impostazioni predefinite per gli account che verranno creati in futuro, tuttavia, evitando di modificare manualmente le impostazioni predefinite per ogni nuovo account.
Le impostazioni sono configurate nel file di configurazione "/etc/login.defs". Poiché il file si trova nella directory "/etc", richiederà i permessi di root per la modifica. Per evitare problemi in cui apporti modifiche e non puoi salvarle perché non disponi delle autorizzazioni, assicurati di avviare il tuo editor di testo preferito con sudo.
La sezione desiderata si trova vicino alla metà del file ed è intitolata "Controlli dell'invecchiamento della password". In esso ci sono tre impostazioni, "PASS_MAX_DAYS", "PASS_MIN_DAYS" e "PASS_WARN_AGE". Rispettivamente questi vengono utilizzati per impostare per quanti giorni una password può essere valida prima di dover essere reimpostata, quanto tempo dopo una modifica della password ne può essere fatta un'altra e quanti giorni di avviso riceve un utente prima che la sua password sia scaduto.
Il valore predefinito di "PASS_MAX_DAYS" è 99999 che viene utilizzato per indicare che le password non devono scadere automaticamente. Il valore predefinito di "PASS_MIN_DAYS" è 0, il che significa che gli utenti possono modificare la password tutte le volte che vogliono.
Suggerimento: un limite minimo per l'età della password è normalmente combinato con un meccanismo di cronologia delle password in ordine per impedire agli utenti di modificare la propria password e quindi di riportarla immediatamente a quella di prima essere.
Il valore predefinito di "PASS_WARN_AGE" è sette giorni. Questo valore viene utilizzato solo se la password di un utente è effettivamente configurata per scadere.
Come configurare le impostazioni di invecchiamento della password predefinite per i nuovi account
Se vuoi configurare questi valori in modo che le password scadano automaticamente ogni 90 giorni, un'età minima di uno day viene applicato e gli utenti vengono avvisati 14 giorni prima della scadenza, è necessario impostare i valori "90", "1" e "14" rispettivamente. Dopo aver apportato le modifiche desiderate, salva il file. Tutti i nuovi account creati dopo l'aggiornamento del file avranno le impostazioni configurate applicate per impostazione predefinita.
Nota: a meno che non sia richiesto dai criteri, dovresti evitare di configurare le password in modo che scadano automaticamente nel tempo. L'NCSC, il NIST e la più ampia comunità di sicurezza informatica ora raccomandano che le password scadano solo quando vi è il ragionevole sospetto che siano state compromesse. Ciò è dovuto alla ricerca che ha dimostrato che le reimpostazioni obbligatorie regolari delle password spingono attivamente gli utenti a scegliere password più deboli e formulate che sono più facili da indovinare. Quando gli utenti non sono obbligati a creare e ricordare regolarmente una nuova password, sono più bravi a creare password più lunghe, più complesse e generalmente più efficaci.