Linux: Πώς να διαμορφώσετε τις προεπιλεγμένες ρυθμίσεις γήρανσης κωδικού πρόσβασης για νέους λογαριασμούς

Εάν διαχειρίζεστε ένα σύστημα Linux, μία από τις εργασίες που ίσως χρειαστεί να κάνετε είναι να διαχειριστείτε τους κωδικούς πρόσβασης ρυθμίσεων για λογαριασμούς χρηστών. Ως μέρος αυτής της διαδικασίας, πιθανότατα θα χρειαστεί να διαχειριστείτε τις ρυθμίσεις τόσο για υπάρχοντες όσο και για νέους λογαριασμούς.

Η διαχείριση των ρυθμίσεων κωδικού πρόσβασης για υπάρχοντες λογαριασμούς γίνεται μέσω της εντολής «passwd», αν και υπάρχουν και άλλες εναλλακτικές. Μπορείτε να ορίσετε προεπιλεγμένες ρυθμίσεις για λογαριασμούς που θα δημιουργηθούν στο μέλλον, ωστόσο, εξοικονομώντας σας από τη μη αυτόματη αλλαγή των προεπιλογών για κάθε νέο λογαριασμό.

Οι ρυθμίσεις διαμορφώνονται στο αρχείο ρυθμίσεων "/etc/login.defs". Καθώς το αρχείο βρίσκεται στον κατάλογο "/etc", θα απαιτήσει δικαιώματα root για επεξεργασία. Για να αποφύγετε τυχόν προβλήματα όπου κάνετε αλλαγές και δεν μπορείτε να τις αποθηκεύσετε επειδή δεν έχετε δικαιώματα, βεβαιωθείτε ότι έχετε εκκινήσει το πρόγραμμα επεξεργασίας κειμένου που προτιμάτε με το sudo.

Η ενότητα που θέλετε βρίσκεται κοντά στη μέση του αρχείου και έχει τίτλο "Στοιχεία ελέγχου γήρανσης κωδικού πρόσβασης". Σε αυτό υπάρχουν τρεις ρυθμίσεις, "PASS_MAX_DAYS", "PASS_MIN_DAYS" και "PASS_WARN_AGE". Αντίστοιχα, χρησιμοποιούνται για να ορίσετε πόσες ημέρες μπορεί να ισχύει ένας κωδικός πρόσβασης πριν χρειαστεί επαναφορά, πόσο σύντομα μετά από μια αλλαγή κωδικού πρόσβασης μπορεί να γίνει ένας άλλος και πόσες ημέρες προειδοποίησης θα λάβει ένας χρήστης πριν λήξει ο κωδικός πρόσβασής του.

Οι προεπιλεγμένες τιμές για τα στοιχεία ελέγχου γήρανσης κωδικού πρόσβασης μπορούν να βρεθούν και να διαμορφωθούν στο αρχείο "/etc/login.defs".

Το "PASS_MAX_DAYS" ορίζει ως προεπιλογή το 99999, το οποίο χρησιμοποιείται για να υποδείξει ότι οι κωδικοί πρόσβασης δεν πρέπει να λήγουν αυτόματα. Το "PASS_MIN_DAYS" είναι προεπιλεγμένο σε 0, πράγμα που σημαίνει ότι οι χρήστες μπορούν να αλλάζουν τον κωδικό πρόσβασής τους όσο συχνά θέλουν.

Συμβουλή: Ένα ελάχιστο όριο ηλικίας κωδικού πρόσβασης συνήθως συνδυάζεται με έναν μηχανισμό ιστορικού κωδικού πρόσβασης, προκειμένου να αποτρέπεται η αλλαγή του κωδικού πρόσβασης από τους χρήστες και, στη συνέχεια, η άμεση αλλαγή του σε αυτό που ήταν.

Το "PASS_WARN_AGE" ορίζεται από προεπιλογή σε επτά ημέρες. Αυτή η τιμή χρησιμοποιείται μόνο εάν ο κωδικός πρόσβασης ενός χρήστη έχει όντως ρυθμιστεί ώστε να λήγει.

Πώς να διαμορφώσετε τις προεπιλεγμένες ρυθμίσεις γήρανσης κωδικού πρόσβασης για νέους λογαριασμούς

Εάν θέλετε να διαμορφώσετε αυτές τις τιμές έτσι ώστε οι κωδικοί πρόσβασης να λήγουν αυτόματα κάθε 90 ημέρες, να εφαρμόζεται ελάχιστο όριο ηλικίας μίας ημέρας και να προειδοποιούνται οι χρήστες 14 ημέρες πριν τη λήξη τους, θα πρέπει να ορίσετε τις τιμές "90", "1" και " 14” αντίστοιχα. Αφού κάνετε τις αλλαγές που θέλετε, αποθηκεύστε το αρχείο. Για τυχόν νέους λογαριασμούς που δημιουργούνται μετά την ενημέρωση του αρχείου, θα εφαρμόζονται από προεπιλογή οι ρυθμίσεις που έχετε διαμορφώσει.

Οι τιμές "90", "1" και "14" αντίστοιχα, διαμορφώνουν τους κωδικούς πρόσβασης ώστε να λήγουν αυτόματα κάθε 90 ημέρες, να αλλάζουν το πολύ μία φορά την ημέρα και παρέχουν στους χρήστες προειδοποιήσεις ότι ο κωδικός πρόσβασής τους πρέπει να αλλάξει δεκατέσσερις ημέρες πριν λήξει.

Σημείωση: Εκτός εάν απαιτείται από τις πολιτικές, θα πρέπει να αποφύγετε τη διαμόρφωση των κωδικών πρόσβασης ώστε να λήγουν αυτόματα με την πάροδο του χρόνου. Το NCSC, το NIST και η ευρύτερη κοινότητα της κυβερνοασφάλειας συνιστούν πλέον ότι οι κωδικοί πρόσβασης λήγουν μόνο όταν υπάρχει εύλογη υποψία ότι έχουν παραβιαστεί. Αυτό οφείλεται σε έρευνα που έχει δείξει ότι οι τακτικές υποχρεωτικές επαναφορές κωδικών πρόσβασης ωθούν ενεργά τους χρήστες στην επιλογή πιο αδύναμων και πιο τυποποιημένων κωδικών πρόσβασης που είναι πιο εύκολο να μαντέψουν. Όταν οι χρήστες δεν αναγκάζονται να δημιουργούν και να θυμούνται τακτικά έναν νέο κωδικό πρόσβασης, είναι καλύτεροι στο να δημιουργούν μεγαλύτερους, πιο σύνθετους και γενικά ισχυρότερους κωδικούς πρόσβασης.