Če upravljate sistem Linux, je ena od nalog, ki jih boste morda morali narediti, upravljanje gesel za nastavitve za uporabniške račune. Kot del tega postopka boste verjetno morali upravljati nastavitve za obstoječe in nove račune.
Upravljanje nastavitev gesla za obstoječe račune poteka z ukazom »passwd«, čeprav obstajajo druge možnosti. Nastavite lahko privzete nastavitve za račune, ki bodo ustvarjeni v prihodnosti, vendar vas prihranijo pred ročnim spreminjanjem privzetih nastavitev za vsak nov račun.
Nastavitve so konfigurirane v konfiguracijski datoteki “/etc/login.defs”. Ker se datoteka nahaja v imeniku »/etc«, bo za urejanje zahtevala korenska dovoljenja. Če se želite izogniti kakršnim koli težavam, pri katerih naredite spremembe in jih ne morete shraniti, ker nimate dovoljenj, poskrbite, da zaženete želeni urejevalnik besedil s sudo.
Razdelek, ki ga želite, je blizu sredine datoteke in ima naslov »Nadzor staranja gesla«. V njem so tri nastavitve, "PASS_MAX_DAYS", "PASS_MIN_DAYS" in "PASS_WARN_AGE". Te se uporabljajo za nastavitev, koliko dni lahko geslo velja, preden ga je treba ponastaviti, kako hitro po eni spremembi gesla je mogoče narediti drugo in koliko dni prejme uporabnik opozorilo pred geslom potekel.
»PASS_MAX_DAYS« je privzeto nastavljeno na 99999, ki se uporablja za označevanje, da gesla ne smejo samodejno poteči. »PASS_MIN_DAYS« je privzeto nastavljeno na 0, kar pomeni, da lahko uporabniki spreminjajo svoje geslo tako pogosto, kot želijo.
Nasvet: Minimalna omejitev starosti gesla je običajno kombinirana z mehanizmom zgodovine gesel po vrstnem redu preprečiti uporabnikom, da spremenijo svoje geslo in ga nato takoj spremenijo nazaj na tisto, kar je bilo prej biti.
»PASS_WARN_AGE« je privzeto nastavljeno na sedem dni. Ta vrednost se uporablja samo, če je uporabniško geslo dejansko konfigurirano tako, da poteče.
Kako konfigurirati privzete nastavitve staranja gesla za nove račune
Če želite te vrednosti konfigurirati tako, da gesla samodejno potečejo vsakih 90 dni, je najmanj ena starost dan, uporabniki pa so opozorjeni 14 dni pred potekom, da morate nastaviti vrednosti »90«, »1« in »14« oz. Ko naredite želene spremembe, shranite datoteko. Za vse nove račune, ki so ustvarjeni po posodobitvi datoteke, bodo privzeto uporabljene nastavitve, ki ste jih konfigurirali.
Opomba: Razen če to zahtevajo pravilniki, se izogibajte konfiguriranju gesel tako, da sčasoma samodejno potečejo. NCSC, NIST in širša skupnost za kibernetsko varnost zdaj priporočajo, da gesla potečejo le, če obstaja utemeljen sum, da so bila ogrožena. To je posledica raziskav, ki so pokazale, da redne obvezne ponastavitve gesel aktivno potiskajo uporabnike k izbiri šibkejših in bolj formuliranih gesel, ki jih je lažje uganiti. Ko uporabniki niso prisiljeni redno ustvarjati in si zapomniti novo geslo, so boljši pri ustvarjanju daljših, bolj zapletenih in na splošno močnejših gesel.