Dacă gestionați un sistem Linux, una dintre sarcinile pe care trebuie să le faceți este să gestionați parolele de setări pentru conturile de utilizator. Ca parte a acestui proces, va trebui probabil să gestionați setările atât pentru conturile existente, cât și pentru cele noi.
Gestionarea setărilor parolei pentru conturile existente se face prin comanda „passwd”, deși există și alte alternative. Puteți seta setări implicite pentru conturile care vor fi create în viitor, cu toate acestea, evitându-vă să modificați manual setările implicite pentru fiecare cont nou.
Setările sunt configurate în fișierul de configurare „/etc/login.defs”. Deoarece fișierul se află în directorul „/etc”, va necesita permisiuni root pentru editare. Pentru a evita orice probleme în care faceți modificări și apoi nu le puteți salva deoarece nu aveți permisiuni, asigurați-vă că lansați editorul de text preferat cu sudo.
Secțiunea pe care o doriți este aproape de mijlocul fișierului și este intitulată „Controale privind vechimea parolei”. În el sunt trei setări, „PASS_MAX_DAYS”, „PASS_MIN_DAYS” și „PASS_WARN_AGE”. Respectiv, acestea sunt folosite pentru a seta câte zile poate fi valabilă o parolă înainte de a fi necesară resetarea, cât de curând după o schimbare de parolă se poate face o alta și câte zile primește un avertisment de utilizator înainte ca parola sa să fie expirat.
„PASS_MAX_DAYS” este implicit 99999, care este folosit pentru a indica faptul că parolele nu ar trebui să expire automat. „PASS_MIN_DAYS” este implicit 0, ceea ce înseamnă că utilizatorii își pot schimba parola de câte ori doresc.
Sfat: O limită minimă a vechimii parolei este în mod normal combinată cu un mecanism de istoric al parolelor în ordine pentru a împiedica utilizatorii să-și schimbe parola și apoi să o schimbe imediat înapoi la ceea ce era înainte fi.
„PASS_WARN_AGE” este implicit șapte zile. Această valoare este utilizată numai dacă parola unui utilizator este de fapt configurată să expire.
Cum să configurați setările implicite de vechime a parolei pentru conturile noi
Dacă doriți să configurați aceste valori astfel încât parolele să fie expirate automat la fiecare 90 de zile, o vârstă minimă de un an se aplică ziua, iar utilizatorii sunt avertizați cu 14 zile înainte de expirare, trebuie să setați valorile „90”, „1” și „14” respectiv. După ce ați făcut modificările dorite, salvați fișierul. Orice conturi noi care sunt create după ce actualizați fișierul vor avea setările pe care le-ați configurat aplicate în mod implicit.
Notă: cu excepția cazului în care este impus de politici, ar trebui să evitați configurarea parolelor pentru a expira automat în timp. NCSC, NIST și comunitatea mai largă de securitate cibernetică recomandă acum ca parolele să fie expirate numai atunci când există suspiciuni rezonabile că au fost compromise. Acest lucru se datorează cercetărilor care au arătat că resetările regulate obligatorii ale parolei împing în mod activ utilizatorii să aleagă parole mai slabe și mai formulate, care sunt mai ușor de ghicit. Atunci când utilizatorii nu sunt obligați să creeze și să-și amintească în mod regulat o nouă parolă, sunt mai bine să creeze parole mai lungi, mai complexe și, în general, mai puternice.