Якщо ви керуєте комп’ютером Linux з кількома користувачами, іноді вам може знадобитися або потрібно змусити користувача змінити свій пароль. Найімовірнішою причиною цієї вимоги є сценарій першого використання. Інші потенційні причини для зміни пароля, наприклад, забутий користувачем пароль скомпрометований або обов’язковий регулярний циклічний перехід пароля насправді не працює з концепцією ручного використання закінчення терміну дії пароля.
Коли термін дії пароля Linux закінчився, користувач повинен змінити його під час наступного входу в систему. Якщо користувач забув свій пароль, він ніколи не зможе увійти, а потім змінити пароль. Якщо пароль користувача зламано, його слід негайно змінити; закінчення терміну його дії створює ризик того, що хакер спочатку ввійде в обліковий запис, а потім зможе встановити для пароля будь-яке значення. Якщо у вас є політика вимоги регулярного скидання пароля, то цим слід керувати автоматично, встановлюючи максимальний термін дії пароля, а не вручну закінчуючи термін дії паролів.
Примітка: в ідеалі ви більше не повинні регулярно завершувати термін дії паролів, оскільки NCSC і NIST, а також більша спільнота кібербезпеки мають змінили свої громадські вказівки через дослідження, які показали, що це робить людей більш схильними вибирати слабкі та шаблонні паролі. Тепер рекомендація полягає в тому, щоб змусити користувачів змінювати паролі лише тоді, коли є обґрунтована підозра, що пароль було зламано. Не змушуючи користувачів регулярно запам’ятовувати нові паролі, вони з більшою ймовірністю створять і запам’ятають довший, складніший і надійний пароль.
Коли ви вперше створюєте обліковий запис для користувача, зазвичай він створюється з тимчасовим паролем. Потім користувач повинен змінити цей пароль на такий, який він зможе запам’ятати під час першого входу.
Як примусово завершити термін дії пароля
Щоб позначити пароль як «термін дії закінчився» та змусити користувача змінити свій пароль наступного разу, коли він увійде в систему, потрібно використовувати команду «passwd» разом із прапорцем «-e». Прапор «-e» негайно втрачає термін дії пароля облікового запису, що змусить їх змінити свій пароль під час наступного входу.
Повна команда буде «sudo passwd -e [ім’я користувача]». Sudo потрібен, оскільки для виконання команди потрібні права root.
