Якщо ви керуєте системою Linux, одне із завдань, яке вам доведеться виконати, — це керувати паролями налаштувань для облікових записів користувачів. У рамках цього процесу вам, ймовірно, потрібно буде керувати налаштуваннями як для наявних, так і для нових облікових записів.
Керування налаштуваннями паролів для існуючих облікових записів здійснюється за допомогою команди «passwd», хоча є й інші альтернативи. Ви можете встановити параметри за замовчуванням для облікових записів, які будуть створені в майбутньому, однак, позбавляючи вас від ручної зміни налаштувань за замовчуванням для кожного нового облікового запису.
Налаштування налаштовуються у файлі конфігурації «/etc/login.defs». Оскільки файл розташований у каталозі «/etc», для редагування йому знадобляться права root. Щоб уникнути проблем, коли ви вносите зміни, а потім не можете їх зберегти, оскільки у вас немає дозволів, переконайтеся, що ви запускаєте бажаний текстовий редактор за допомогою sudo.
Потрібний розділ знаходиться ближче до середини файлу і має назву «Контроль старіння пароля». У ньому три налаштування: «PASS_MAX_DAYS», «PASS_MIN_DAYS» і «PASS_WARN_AGE». Відповідно, вони використовуються для встановлення, скільки днів пароль може бути дійсним, перш ніж його потрібно буде скинути, як скоро після однієї зміни пароля можна зробити інший, і скільки днів користувач отримує попередження до його пароля закінчився.
«PASS_MAX_DAYS» за замовчуванням має значення 99999, яке використовується для вказівки на те, що термін дії паролів не повинен закінчуватися автоматично. «PASS_MIN_DAYS» за замовчуванням дорівнює 0, що означає, що користувачі можуть змінювати свій пароль так часто, як їм заманеться.
Порада: мінімальний ліміт терміну дії пароля зазвичай поєднується з механізмом історії паролів щоб запобігти зміні пароля користувачам, а потім негайному поверненню його до колишнього бути.
"PASS_WARN_AGE" за умовчанням становить сім днів. Це значення використовується лише в тому випадку, якщо термін дії пароля користувача дійсно налаштований.
Як налаштувати параметри старіння пароля за замовчуванням для нових облікових записів
Якщо ви хочете налаштувати ці значення так, щоб паролі автоматично закінчувалися кожні 90 днів, мінімальний вік день застосовується, і користувачі попереджуються за 14 днів до закінчення терміну дії, що вам слід встановити значення «90», «1» і «14» відповідно. Після того, як ви внесете потрібні зміни, збережіть файл. До всіх нових облікових записів, створених після оновлення файлу, за замовчуванням застосовуватимуться налаштування, які ви налаштували.
Примітка. Якщо не передбачено політикою, вам слід уникати налаштування паролів на автоматичне завершення терміну дії з часом. NCSC, NIST та широке співтовариство з кібербезпеки тепер рекомендують, щоб паролі втратили термін дії лише тоді, коли є обґрунтована підозра, що вони були зламані. Це пов’язано з дослідженнями, які показали, що регулярні обов’язкові скидання паролів активно підштовхують користувачів до вибору більш слабких і стандартних паролів, які легше вгадати. Коли користувачів не змушують регулярно створювати та запам’ятовувати новий пароль, вони краще створюють довший, складніший і загалом надійніший паролі.