Linux: Как да конфигурирате настройките за стареене на паролата по подразбиране за нови акаунти

Ако управлявате Linux система, една от задачите, които може да трябва да направите, е да управлявате паролите за настройки за потребителски акаунти. Като част от този процес вероятно ще трябва да управлявате настройките както за съществуващи, така и за нови акаунти.

Управлението на настройките на паролата за съществуващи акаунти се извършва чрез командата „passwd“, въпреки че има и други алтернативи. Можете да зададете настройки по подразбиране за акаунти, които ще бъдат създадени в бъдеще, но ви спестява от ръчна промяна на настройките по подразбиране за всеки нов акаунт.

Настройките се конфигурират в конфигурационния файл “/etc/login.defs”. Тъй като файлът се намира в директорията „/etc“, той ще изисква root права за редактиране. За да избегнете проблеми, при които правите промени, след което не можете да ги запазите, защото нямате разрешения, уверете се, че стартирате предпочитания от вас текстов редактор със sudo.

Секцията, която искате, е близо до средата на файла и е озаглавена „Контроли за стареене на паролата“. В него има три настройки „PASS_MAX_DAYS“, „PASS_MIN_DAYS“ и „PASS_WARN_AGE“. Съответно те се използват, за да се зададе колко дни може да бъде валидна паролата, преди да се наложи да бъде нулирана, колко скоро след една промяна на паролата може да се направи друга и колко дни предупреждение получава потребителят, преди паролата му да изтече.

Стойностите по подразбиране за контроли за стареене на паролата могат да бъдат намерени и конфигурирани във файла “/etc/login.defs”.

„PASS_MAX_DAYS“ по подразбиране е 99999, което се използва, за да посочи, че паролите не трябва да изтичат автоматично. „PASS_MIN_DAYS“ по подразбиране е 0, което означава, че потребителите могат да променят паролата си толкова често, колкото пожелаят.

Съвет: Минималното ограничение за възрастта на паролата обикновено се комбинира с механизъм за хронология на паролите, за да се попречи на потребителите да променят паролата си и след това незабавно да я променят обратно към това, което е било преди.

„PASS_WARN_AGE“ по подразбиране е седем дни. Тази стойност се използва само ако паролата на потребителя действително е конфигурирана да изтече.

Как да конфигурирате настройките за стареене на паролата по подразбиране за нови акаунти

Ако искате да конфигурирате тези стойности, така че паролите да изтичат автоматично на всеки 90 дни, се прилага минимална възраст от един ден и потребителите са предупредени 14 дни преди да изтекат, трябва да зададете стойностите „90“, „1“ и „ 14” съответно. След като направите желаните промени, запазете файла. Всички нови акаунти, създадени след актуализиране на файла, ще имат настройките, които сте конфигурирали, приложени към него по подразбиране.

Стойностите „90“, „1“ и „14“ съответно конфигурират паролите да изтичат автоматично на всеки 90 дни, да се променят най-много веднъж на ден и да предоставят на потребителите предупреждения, че паролата им трябва да бъде променена четиринадесет дни преди да изтече.

Забележка: Освен ако не е задължено от правилата, трябва да избягвате конфигурирането на паролите да изтичат автоматично с течение на времето. NCSC, NIST и по-широката общност за киберсигурност сега препоръчват паролите да са с изтекъл срок само когато има разумно подозрение, че са били компрометирани. Това се дължи на изследвания, които показват, че редовните задължителни нулирани пароли активно подтикват потребителите да избират по-слаби и по-формулни пароли, които са по-лесни за отгатване. Когато потребителите не са принудени редовно да създават и запомнят нова парола, те са по-добри в създаването на по-дълги, по-сложни и като цяло по-силни пароли.