Если вы управляете системой Linux, одна из задач, которые вам, возможно, придется выполнить, - это управлять паролями настроек для учетных записей пользователей. В рамках этого процесса вам, вероятно, потребуется управлять настройками как для существующих, так и для новых учетных записей.
Управление настройками пароля для существующих учетных записей осуществляется с помощью команды «passwd», хотя есть и другие альтернативы. Однако вы можете установить настройки по умолчанию для учетных записей, которые будут созданы в будущем, что избавит вас от необходимости вручную изменять настройки по умолчанию для каждой новой учетной записи.
Параметры настраиваются в конфигурационном файле «/etc/login.defs». Поскольку файл находится в каталоге «/ etc», для редактирования ему потребуются права root. Чтобы избежать проблем, когда вы вносите изменения, а затем не можете их сохранить, потому что у вас нет разрешений, убедитесь, что вы запускаете предпочитаемый текстовый редактор с помощью sudo.
Нужный раздел находится посередине файла и называется «Контроль устаревания пароля». В нем три параметра: «PASS_MAX_DAYS», «PASS_MIN_DAYS» и «PASS_WARN_AGE». Соответственно, они используются, чтобы установить, сколько дней пароль может быть действителен, прежде чем потребуется его сброс, как скоро после смены одного пароля может быть выполнен другой, и за сколько дней пользователь получит предупреждение, прежде чем его пароль будет истекший.
«PASS_MAX_DAYS» по умолчанию 99999, который используется, чтобы указать, что пароли не должны истекать автоматически. «PASS_MIN_DAYS» по умолчанию равен 0, что означает, что пользователи могут менять свой пароль сколь угодно часто.
Совет: минимальный предел возраста пароля обычно сочетается с механизмом истории паролей, чтобы чтобы пользователи не могли изменить свой пароль, а затем немедленно вернуть его обратно к тому, что он использовал быть.
«PASS_WARN_AGE» по умолчанию равен семи дням. Это значение используется только в том случае, если срок действия пароля пользователя действительно истек.
Как настроить параметры устаревания пароля по умолчанию для новых учетных записей
Если вы хотите настроить эти значения таким образом, чтобы пароли автоматически истекали каждые 90 дней, минимальный возраст составляет один день применяется, и пользователи получают предупреждение за 14 дней до истечения срока их действия, вам следует установить значения «90», «1» и «14» соответственно. После внесения необходимых изменений сохраните файл. Любые новые учетные записи, созданные после обновления файла, будут иметь настроенные вами параметры, примененные к ним по умолчанию.
Примечание. За исключением случаев, предусмотренных политиками, следует избегать настройки паролей таким образом, чтобы срок их действия не истекал автоматически. NCSC, NIST и более широкое сообщество специалистов по кибербезопасности теперь рекомендуют истекать срок действия паролей только при наличии разумного подозрения, что они были скомпрометированы. Это связано с исследованиями, которые показали, что регулярный обязательный сброс пароля активно подталкивает пользователей к выбору более слабых и шаблонных паролей, которые легче угадать. Когда пользователей не заставляют регулярно создавать и запоминать новый пароль, они лучше создают более длинные, более сложные и, как правило, более надежные пароли.