Linux: როგორ დააკონფიგურიროთ ნაგულისხმევი პაროლის დაბერების პარამეტრები ახალი ანგარიშებისთვის

თუ თქვენ მართავთ Linux სისტემას, ერთ-ერთი ამოცანა, რომელიც შეიძლება დაგჭირდეთ, არის მომხმარებლის ანგარიშების პარამეტრების პაროლების მართვა. როგორც ამ პროცესის ნაწილი, თქვენ სავარაუდოდ უნდა მართოთ პარამეტრები როგორც არსებული, ასევე ახალი ანგარიშებისთვის.

არსებული ანგარიშებისთვის პაროლის პარამეტრების მართვა ხდება "passwd" ბრძანების მეშვეობით, თუმცა არსებობს სხვა ალტერნატივებიც. თქვენ შეგიძლიათ დააყენოთ ნაგულისხმევი პარამეტრები იმ ანგარიშებისთვის, რომლებიც მომავალში შეიქმნება, თუმცა, თქვენ გიხსნით ნაგულისხმევი პარამეტრების ხელით შეცვლას ყოველი ახალი ანგარიშისთვის.

პარამეტრები კონფიგურირებულია კონფიგურაციის ფაილში "/etc/login.defs". ვინაიდან ფაილი მდებარეობს "/etc" დირექტორიაში, მას დასჭირდება root ნებართვები რედაქტირებისთვის. იმისათვის, რომ თავიდან აიცილოთ რაიმე პრობლემა, როდესაც თქვენ ცვლით ცვლილებებს და შემდეგ ვერ შეძლებთ მათ შენახვას, რადგან არ გაქვთ ნებართვები, დარწმუნდით, რომ გაუშვით სასურველი ტექსტის რედაქტორი sudo-ით.

განყოფილება, რომელიც გსურთ, მდებარეობს ფაილის შუაში და სახელწოდებით „პაროლის დაბერების კონტროლი“. მასში არის სამი პარამეტრი, „PASS_MAX_DAYS“, „PASS_MIN_DAYS“ და „PASS_WARN_AGE“. შესაბამისად, ისინი გამოიყენება იმის დასადგენად, თუ რამდენი დღე შეიძლება იყოს მოქმედი პაროლის გადაყენებამდე, რამდენ ხანში ერთი პაროლის შეცვლის შემდეგ შეიძლება მეორე განხორციელდეს და რამდენი დღის გაფრთხილება მიიღებს მომხმარებლის პაროლს ვადა გაუვიდა.

პაროლის დაბერების კონტროლის ნაგულისხმევი მნიშვნელობები შეგიძლიათ იხილოთ და დააკონფიგურიროთ ფაილში "/etc/login.defs".

„PASS_MAX_DAYS“ ნაგულისხმევად არის 99999, რომელიც გამოიყენება იმის აღსანიშნავად, რომ პაროლები ავტომატურად არ უნდა იწუროს. „PASS_MIN_DAYS“ ნაგულისხმევად არის 0, რაც ნიშნავს, რომ მომხმარებლებს შეუძლიათ შეცვალონ პაროლი რამდენჯერაც სურთ.

რჩევა: პაროლის ასაკის მინიმალური ლიმიტი ჩვეულებრივ შერწყმულია პაროლის ისტორიის მექანიზმთან რათა მომხმარებლებმა შეცვალონ პაროლი და შემდეგ დაუყოვნებლივ შეცვალონ ის, რაც ადრე იყო იყოს.

„PASS_WARN_AGE“ ნაგულისხმევად არის შვიდი დღე. ეს მნიშვნელობა გამოიყენება მხოლოდ იმ შემთხვევაში, თუ მომხმარებლის პაროლი რეალურად კონფიგურირებულია ვადის გასვლისთვის.

როგორ დააკონფიგურიროთ პაროლის დაბერების ნაგულისხმევი პარამეტრები ახალი ანგარიშებისთვის

თუ გსურთ ამ მნიშვნელობების კონფიგურაცია ისე, რომ პაროლები ავტომატურად იწურება ყოველ 90 დღეში, მინიმუმ ერთი ასაკი დღე გამოიყენება და მომხმარებლები გაფრთხილებულნი არიან ვადის გასვლამდე 14 დღით ადრე, თქვენ უნდა დააყენოთ მნიშვნელობები „90“, „1“ და „14“ შესაბამისად. მას შემდეგ რაც გააკეთეთ სასურველი ცვლილებები, შეინახეთ ფაილი. ნებისმიერ ახალ ანგარიშს, რომელიც შეიქმნება ფაილის განახლების შემდეგ, ნაგულისხმევად გამოყენებული იქნება თქვენ მიერ დაყენებული პარამეტრები.

მნიშვნელობები "90", "1" და "14", შესაბამისად, აკონფიგურირებენ პაროლებს, რომ ავტომატურად იწუროს ყოველ 90 დღეში, შეიცვლება უმეტესად დღეში ერთხელ და მიაწოდეთ მომხმარებლებს გაფრთხილებები, რომ პაროლი უნდა შეიცვალოს თოთხმეტი დღით ადრე იწურება.

შენიშვნა: თუ არ არის დადგენილი წესებით, თქვენ უნდა მოერიდოთ პაროლების კონფიგურაციას, რათა დროთა განმავლობაში ავტომატურად იწუროს. NCSC, NIST და კიბერუსაფრთხოების უფრო ფართო საზოგადოება ახლა გვირჩევს, რომ პაროლები ვადაგასულია მხოლოდ მაშინ, როდესაც არსებობს გონივრული ეჭვი, რომ ისინი კომპრომეტირებულია. ეს გამოწვეულია კვლევის შედეგად, რომელმაც აჩვენა, რომ პაროლის რეგულარული სავალდებულო გადატვირთვა აქტიურად უბიძგებს მომხმარებლებს უფრო სუსტი და უფრო ფორმულის პაროლების არჩევისაკენ, რომლებიც უფრო ადვილად გამოსაცნობია. როდესაც მომხმარებლებს არ აიძულებენ რეგულარულად შექმნან და დაიმახსოვრონ ახალი პაროლი, ისინი უკეთესად ქმნიან უფრო გრძელი, რთული და ზოგადად უფრო ძლიერი პაროლები.