Linux:新しいアカウントのデフォルトのパスワードエージング設定を構成する方法

Linuxシステムを管理している場合、実行する必要のあるタスクの1つは、ユーザーアカウントの設定パスワードを管理することです。 このプロセスの一環として、既存のアカウントと新しいアカウントの両方の設定を管理する必要がある場合があります。

既存のアカウントのパスワード設定の管理は、「passwd」コマンドを使用して実行されますが、他の方法もあります。 将来作成されるアカウントのデフォルト設定を設定できますが、新しいアカウントごとにデフォルトを手動で変更する必要はありません。

設定は、構成ファイル「/etc/login.defs」で構成されます。 ファイルは「/ etc」ディレクトリにあるため、編集するにはroot権限が必要です。 権限がないために変更を加えて保存できないという問題を回避するには、sudoを使用して好みのテキストエディタを起動するようにしてください。

必要なセクションはファイルの中央近くにあり、「パスワードエージングコントロール」というタイトルが付けられています。 その中には、「PASS_MAX_DAYS」、「PASS_MIN_DAYS」、「PASS_WARN_AGE」の3つの設定があります。 それぞれ、これらは、パスワードをリセットする必要があるまでの有効日数、パスワードの有効期間を設定するために使用されます。 あるパスワードを変更した後、別のパスワードを変更することができます。また、ユーザーがパスワードを変更するまでに何日警告が表示されますか。 期限切れ。

パスワードエージングコントロールのデフォルト値は、ファイル「/etc/login.defs」にあり、設定できます。

「PASS_MAX_DAYS」のデフォルトは99999で、パスワードが自動的に期限切れにならないことを示すために使用されます。 「PASS_MIN_DAYS」のデフォルトは0です。これは、ユーザーがパスワードを何度でも変更できることを意味します。

ヒント:パスワードの有効期間の最小制限は、通常、パスワード履歴メカニズムと順番に組み合わされます ユーザーがパスワードを変更してすぐに以前のパスワードに戻すことを防ぐため なれ。

「PASS_WARN_AGE」のデフォルトは7日です。 この値は、ユーザーのパスワードが実際に期限切れになるように構成されている場合にのみ使用されます。

新しいアカウントのデフォルトのパスワードエージング設定を構成する方法

パスワードが90日ごとに自動的に期限切れになるようにこれらの値を構成する場合は、1歳以上 日が適用され、有効期限が切れる14日前にユーザーに警告が表示されます。値「90」、「1」、および「14」を設定する必要があります それぞれ。 必要な変更を加えたら、ファイルを保存します。 ファイルの更新後に作成された新しいアカウントには、設定した設定がデフォルトで適用されます。

それぞれ値「90」、「1」、および「14」は、90日ごとに自動的に期限切れになるようにパスワードを構成し、で変更されます。 ほとんどの場合1日に1回、パスワードを14日前に変更する必要があることをユーザーに警告します。 有効期限が切れます。

注:ポリシーで義務付けられている場合を除き、時間の経過とともに自動的に期限切れになるようにパスワードを構成することは避けてください。 NCSC、NIST、およびより広範なサイバーセキュリティコミュニティは、パスワードが侵害された疑いがある場合にのみ、パスワードの有効期限が切れることを推奨しています。 これは、定期的な必須のパスワードリセットにより、ユーザーが推測しやすい、より弱く、より公式なパスワードを選択するように積極的に推進していることを示した調査によるものです。 ユーザーが定期的に新しいパスワードを作成して覚える必要がない場合は、より長く、より複雑で、一般的に強力なパスワードを作成するのが得意です。