Ja pārvaldāt Linux sistēmu, viens no uzdevumiem, kas jums, iespējams, būs jādara, ir pārvaldīt lietotāju kontu iestatījumu paroles. Šī procesa ietvaros jums, visticamāk, būs jāpārvalda gan esošo, gan jauno kontu iestatījumi.
Esošo kontu paroles iestatījumu pārvaldība tiek veikta, izmantojot komandu “passwd”, lai gan ir arī citas alternatīvas. Varat iestatīt noklusējuma iestatījumus kontiem, kas tiks izveidoti nākotnē, taču neļausiet manuāli mainīt katra jauna konta noklusējuma iestatījumus.
Iestatījumi ir konfigurēti konfigurācijas failā “/etc/login.defs”. Tā kā fails atrodas direktorijā “/etc”, tā rediģēšanai būs nepieciešamas saknes atļaujas. Lai izvairītos no problēmām, kad veicat izmaiņas un pēc tam nevarat tās saglabāt, jo jums nav atļauju, noteikti palaidiet vēlamo teksta redaktoru ar sudo.
Vēlamā sadaļa atrodas netālu no faila vidus, un tās nosaukums ir “Paroles novecošanas vadīklas”. Tajā ir trīs iestatījumi: “PASS_MAX_DAYS”, “PASS_MIN_DAYS” un “PASS_WARN_AGE”. Attiecīgi tie tiek izmantoti, lai iestatītu, cik dienas parole var būt derīga, pirms tā ir jāatiestata, cik ātri pēc vienas paroles maiņas var veikt citu, un cik dienu laikā lietotājs saņem brīdinājumu pirms paroles maiņas beidzies derīguma termiņš.
“PASS_MAX_DAYS” noklusējuma vērtība ir 99999, kas tiek izmantota, lai norādītu, ka parolēm nevajadzētu automātiski beigties. “PASS_MIN_DAYS” noklusējuma vērtība ir 0, kas nozīmē, ka lietotāji var mainīt savu paroli, cik bieži vien vēlas.
Padoms. Paroles vecuma minimālais ierobežojums parasti tiek apvienots ar paroles vēstures mehānismu lai neļautu lietotājiem mainīt savu paroli un pēc tam nekavējoties mainīt to atpakaļ uz iepriekšējo būt.
“PASS_WARN_AGE” pēc noklusējuma ir septiņas dienas. Šī vērtība tiek izmantota tikai tad, ja lietotāja paroles derīguma termiņš ir faktiski konfigurēts.
Kā konfigurēt noklusējuma paroles novecošanas iestatījumus jauniem kontiem
Ja vēlaties konfigurēt šīs vērtības tā, lai parolēm automātiski beigtos derīguma termiņš ik pēc 90 dienām, minimālais vecums ir viens diena tiek piemērota, un lietotāji tiek brīdināti 14 dienas pirms to derīguma termiņa beigām, jums jāiestata vērtības “90”, “1” un “14”. attiecīgi. Kad esat veicis vajadzīgās izmaiņas, saglabājiet failu. Visiem jaunajiem kontiem, kas izveidoti pēc faila atjaunināšanas, tiem pēc noklusējuma tiks piemēroti jūsu konfigurētie iestatījumi.
Piezīme. Ja vien politikas to nenosaka, jums nevajadzētu konfigurēt paroles tā, lai laika gaitā tās automātiski beigtos. NCSC, NIST un plašāka kiberdrošības kopiena tagad iesaka paroļu derīguma termiņu beigties tikai tad, ja ir pamatotas aizdomas, ka tās ir apdraudētas. Tas ir saistīts ar pētījumiem, kas liecina, ka regulāra obligātā paroles atiestatīšana aktīvi mudina lietotājus izvēlēties vājākas un formulīgākas paroles, kuras ir vieglāk uzminēt. Ja lietotāji nav spiesti regulāri izveidot un atcerēties jaunu paroli, viņi labāk izveido garākas, sarežģītākas un kopumā spēcīgākas paroles.