Hvis du administrerer et Linux-system, er en av oppgavene du må gjøre å administrere innstillingspassordene for brukerkontoer. Som en del av denne prosessen må du sannsynligvis administrere innstillingene for både eksisterende og nye kontoer.
Administrering av passordinnstillingene for eksisterende kontoer gjøres gjennom "passwd"-kommandoen, selv om det finnes andre alternativer. Du kan angi standardinnstillinger for kontoer som vil bli opprettet i fremtiden, men du slipper å endre standardinnstillingene manuelt for hver nye konto.
Innstillingene er konfigurert i konfigurasjonsfilen "/etc/login.defs". Siden filen ligger i "/etc"-katalogen, vil den kreve rottillatelser for å redigere. For å unngå problemer der du gjør endringer så ikke kan lagre dem fordi du ikke har tillatelser, sørg for at du starter din foretrukne tekstredigerer med sudo.
Seksjonen du ønsker er nær midten av filen og har tittelen "Passord aldring kontroller". I den er tre innstillinger, "PASS_MAX_DAYS", "PASS_MIN_DAYS" og "PASS_WARN_AGE". Disse brukes til å angi hvor mange dager et passord kan være gyldig før det må tilbakestilles, hvor snart etter en passordendring kan en annen gjøres, og hvor mange dager advarsel en bruker får før passordet er utløpt.
"PASS_MAX_DAYS" er standard til 99999 som brukes til å indikere at passord ikke skal utløpe automatisk. "PASS_MIN_DAYS" er standard til 0, noe som betyr at brukere kan endre passordet så ofte de vil.
Tips: En minimumsgrense for passordalder kombineres normalt med en passordhistorikkmekanisme i rekkefølge for å hindre brukere i å endre passordet sitt og deretter umiddelbart endre det tilbake til det det pleide være.
«PASS_WARN_AGE» er som standard syv dager. Denne verdien brukes bare hvis en brukers passord faktisk er konfigurert til å utløpe.
Slik konfigurerer du standardinnstillingene for aldring av passord for nye kontoer
Hvis du vil konfigurere disse verdiene slik at passord automatisk utløper hver 90. dag, må en minimumsalder på ett år dag brukes, og brukere blir advart 14 dager før de utløper, bør du angi verdiene "90", "1" og "14" hhv. Når du har gjort endringene du ønsker, lagrer du filen. Alle nye kontoer som opprettes etter at du oppdaterer filen vil ha innstillingene du konfigurerte brukt på seg som standard.
Merk: Med mindre det er pålagt av retningslinjer, bør du unngå å konfigurere passord til å utløpe automatisk over tid. NCSC, NIST og det bredere nettsikkerhetssamfunnet anbefaler nå at passord bare utløper når det er rimelig mistanke om at de har blitt kompromittert. Dette skyldes forskning som har vist at regelmessige obligatoriske tilbakestillinger av passord aktivt presser brukere mot å velge svakere og mer formele passord som er lettere å gjette. Når brukere ikke blir tvunget til regelmessig å lage og huske et nytt passord, er de flinkere til å lage lengre, mer komplekse og generelt sterkere passord.