Jeśli zarządzasz systemem Linux, jednym z zadań, które możesz wykonać, jest zarządzanie hasłami ustawień dla kont użytkowników. W ramach tego procesu prawdopodobnie będziesz musiał zarządzać ustawieniami zarówno istniejących, jak i nowych kont.
Zarządzanie ustawieniami haseł dla istniejących kont odbywa się za pomocą polecenia „passwd”, chociaż istnieją inne alternatywy. Możesz ustawić domyślne ustawienia dla kont, które zostaną utworzone w przyszłości, oszczędzając Ci jednak konieczności ręcznej zmiany ustawień domyślnych dla każdego nowego konta.
Ustawienia są konfigurowane w pliku konfiguracyjnym „/etc/login.defs”. Ponieważ plik znajduje się w katalogu „/ etc”, będzie wymagał uprawnień administratora do edycji. Aby uniknąć problemów, w których wprowadzasz zmiany, a następnie nie możesz ich zapisać, ponieważ nie masz uprawnień, upewnij się, że uruchamiasz preferowany edytor tekstu za pomocą sudo.
Żądana sekcja znajduje się w pobliżu środka pliku i nosi tytuł „Kontrola starzenia się haseł”. Zawiera trzy ustawienia: „PASS_MAX_DAYS”, „PASS_MIN_DAYS” i „PASS_WARN_AGE”. Odpowiednio są one używane do określenia, przez ile dni hasło może być ważne, zanim będzie trzeba je zresetować i jak szybko po zmianie jednego hasła można wprowadzić kolejne, i ile dni otrzyma ostrzeżenie, zanim jego hasło zostanie wygasły.
„PASS_MAX_DAYS” to wartość domyślna 99999, która jest używana do wskazania, że hasła nie powinny wygasać automatycznie. „PASS_MIN_DAYS” domyślnie to 0, co oznacza, że użytkownicy mogą zmieniać swoje hasło tak często, jak chcą.
Wskazówka: Minimalny limit wieku hasła jest zwykle połączony z mechanizmem historii haseł w celu uporządkowania aby uniemożliwić użytkownikom zmianę hasła, a następnie natychmiastową zmianę go z powrotem na to, co kiedyś być.
„PASS_WARN_AGE” to domyślnie siedem dni. Ta wartość jest używana tylko wtedy, gdy hasło użytkownika jest faktycznie skonfigurowane do wygaśnięcia.
Jak skonfigurować domyślne ustawienia starzenia się hasła dla nowych kont
Jeśli chcesz skonfigurować te wartości tak, aby hasła wygasały automatycznie co 90 dni, minimalny wiek to jeden dzień, a użytkownicy są ostrzegani 14 dni przed wygaśnięciem, należy ustawić wartości „90”, „1” i „14” odpowiednio. Po wprowadzeniu żądanych zmian zapisz plik. Wszystkie nowe konta utworzone po zaktualizowaniu pliku będą miały domyślnie zastosowane do nich skonfigurowane ustawienia.
Uwaga: jeśli nie jest to wymagane przez zasady, należy unikać konfigurowania haseł, które z czasem wygasają automatycznie. NCSC, NIST i szersza społeczność cyberbezpieczeństwa zalecają teraz, aby hasła wygasały tylko wtedy, gdy istnieje uzasadnione podejrzenie, że zostały naruszone. Wynika to z badań, które wykazały, że regularne obowiązkowe resetowanie haseł aktywnie skłania użytkowników do wybierania słabszych i bardziej schematycznych haseł, które są łatwiejsze do odgadnięcia. Gdy użytkownicy nie są zmuszani do regularnego tworzenia i zapamiętywania nowego hasła, lepiej radzą sobie z tworzeniem dłuższych, bardziej złożonych i ogólnie silniejszych haseł.