Linux: Jak nakonfigurovat výchozí nastavení stárnutí hesla pro nové účty

Pokud spravujete systém Linux, jedním z úkolů, které možná budete muset udělat, je správa hesel nastavení pro uživatelské účty. V rámci tohoto procesu budete pravděpodobně muset spravovat nastavení pro stávající i nové účty.

Správa nastavení hesel pro stávající účty se provádí pomocí příkazu „passwd“, i když existují i ​​​​jiné alternativy. Můžete nastavit výchozí nastavení pro účty, které budou vytvořeny v budoucnu, aniž byste museli ručně měnit výchozí nastavení pro každý nový účet.

Nastavení se konfigurují v konfiguračním souboru „/etc/login.defs“. Protože je soubor umístěn v adresáři „/etc“, bude k úpravám vyžadovat oprávnění root. Abyste se vyhnuli problémům, kdy provedete změny a nebudete je moci uložit, protože nemáte oprávnění, ujistěte se, že jste spustili preferovaný textový editor pomocí sudo.

Sekce, kterou chcete, je blízko středu souboru a má název „Ovládání stárnutí hesel“. V něm jsou tři nastavení, „PASS_MAX_DAYS“, „PASS_MIN_DAYS“ a „PASS_WARN_AGE“. Tyto se používají k nastavení, kolik dní může být heslo platné, než je nutné ho resetovat, jak brzy po změně hesla lze provést další a kolik dní dostane uživatel varování před vypršením platnosti hesla.

Výchozí hodnoty pro ovládání stárnutí hesel lze nalézt a nakonfigurovat v souboru „/etc/login.defs“.

Výchozí hodnota „PASS_MAX_DAYS“ je 99999, která se používá k označení, že platnost hesel by neměla automaticky vypršet. Výchozí hodnota „PASS_MIN_DAYS“ je 0, což znamená, že uživatelé mohou své heslo měnit tak často, jak chtějí.

Tip: Minimální limit stáří hesla je běžně kombinován s mechanismem historie hesel, aby se uživatelům zabránilo ve změně hesla a následné okamžité změně zpět na to, co bývalo.

Výchozí hodnota „PASS_WARN_AGE“ je sedm dní. Tato hodnota se používá pouze v případě, že je heslo uživatele skutečně nakonfigurováno tak, aby vypršelo.

Jak nakonfigurovat výchozí nastavení stárnutí hesla pro nové účty

Pokud chcete tyto hodnoty nakonfigurovat tak, aby platnost hesel automaticky vypršela každých 90 dní, použije se minimální věk jeden den a uživatelé budou upozorněni 14 dní před vypršením platnosti, měli byste nastavit hodnoty „90“, „1“ a „ 14” resp. Jakmile provedete požadované změny, uložte soubor. Na všechny nové účty, které se vytvoří po aktualizaci souboru, se ve výchozím nastavení použije nastavení, které jste nakonfigurovali.

Hodnoty „90“, „1“ a „14“ konfigurují hesla tak, aby automaticky vypršela každých 90 dní, byla změněna maximálně jednou denně a poskytují uživatelům varování, že jejich heslo je třeba změnit čtrnáct dní před vypršením platnosti.

Poznámka: Pokud to není nařízeno zásadami, měli byste se vyhnout konfiguraci hesel tak, aby jejich platnost časem automaticky vypršela. NCSC, NIST a širší komunita kybernetické bezpečnosti nyní doporučují, aby platnost hesel vypršela pouze tehdy, existuje-li důvodné podezření, že byla prozrazena. Důvodem je výzkum, který prokázal, že pravidelné povinné resetování hesla aktivně tlačí uživatele k výběru slabších a formulovanějších hesel, která lze snáze uhodnout. Když uživatelé nejsou nuceni pravidelně vytvářet a pamatovat si nové heslo, lépe se jim vytváří delší, složitější a obecně silnější hesla.