Ak spravujete systém Linux, jednou z úloh, ktoré možno budete musieť urobiť, je spravovať heslá nastavení pre používateľské účty. V rámci tohto procesu budete pravdepodobne musieť spravovať nastavenia pre existujúce aj nové účty.
Správa nastavení hesla pre existujúce účty sa vykonáva pomocou príkazu „passwd“, aj keď existujú aj iné alternatívy. Môžete nastaviť predvolené nastavenia pre účty, ktoré sa vytvoria v budúcnosti, čím si však ušetríte ručnú zmenu predvolených nastavení pre každý nový účet.
Nastavenia sa konfigurujú v konfiguračnom súbore “/etc/login.defs”. Keďže sa súbor nachádza v adresári „/etc“, na úpravu bude vyžadovať oprávnenia root. Aby ste sa vyhli problémom, pri ktorých vykonáte zmeny a nebudete ich môcť uložiť, pretože nemáte povolenia, uistite sa, že ste spustili preferovaný textový editor pomocou sudo.
Požadovaná sekcia sa nachádza v strede súboru a má názov „Ovládacie prvky starnutia hesla“. V ňom sú tri nastavenia, „PASS_MAX_DAYS“, „PASS_MIN_DAYS“ a „PASS_WARN_AGE“. Používajú sa na nastavenie, koľko dní môže byť heslo platné, kým ho bude potrebné resetovať a ako skoro po jednej zmene hesla je možné vykonať ďalšie a o tom, koľko dní používateľ dostane varovanie pred jeho heslom platnosť vypršala.
„PASS_MAX_DAYS“ je predvolene 99999, čo sa používa na označenie, že platnosť hesiel by nemala automaticky vypršať. „PASS_MIN_DAYS“ je predvolene nastavené na 0, čo znamená, že používatelia môžu meniť svoje heslo tak často, ako chcú.
Tip: Minimálny limit veku hesla sa bežne kombinuje s mechanizmom histórie hesiel aby používatelia nemohli zmeniť svoje heslo a potom ho okamžite zmeniť späť na to, čo bolo predtým byť.
Predvolená hodnota „PASS_WARN_AGE“ je sedem dní. Táto hodnota sa používa iba vtedy, ak je heslo používateľa skutočne nakonfigurované tak, aby vypršala platnosť.
Ako nakonfigurovať predvolené nastavenia starnutia hesla pre nové účty
Ak chcete tieto hodnoty nakonfigurovať tak, aby platnosť hesiel automaticky vypršala každých 90 dní, minimálny vek je jeden rok deň sa použije a používatelia sú upozornení 14 dní pred uplynutím platnosti, mali by ste nastaviť hodnoty „90“, „1“ a „14“ resp. Po vykonaní požadovaných zmien súbor uložte. Všetky nové účty, ktoré sa vytvoria po aktualizácii súboru, budú mať predvolene nastavené nastavenia, ktoré ste nakonfigurovali.
Poznámka: Ak to nie je nariadené politikami, mali by ste sa vyhnúť konfigurácii hesiel tak, aby časom automaticky vypršala platnosť. NCSC, NIST a širšia komunita v oblasti kybernetickej bezpečnosti teraz odporúčajú, aby platnosť hesiel skončila iba vtedy, keď existuje dôvodné podozrenie, že boli prezradené. Je to spôsobené výskumom, ktorý ukázal, že pravidelné povinné resetovanie hesiel aktívne tlačí používateľov k tomu, aby si vyberali slabšie a formulovanejšie heslá, ktoré sa dajú ľahšie uhádnuť. Keď používatelia nie sú nútení pravidelne vytvárať a pamätať si nové heslo, dokážu lepšie vytvárať dlhšie, zložitejšie a vo všeobecnosti silnejšie heslá.