Linux: kuidas konfigureerida uute kontode jaoks parooli vananemise vaikeseadeid

Kui haldate Linuxi süsteemi, on üks ülesandeid, mida peate võib-olla tegema, kasutajakontode seadete paroolide haldamine. Selle protsessi osana peate tõenäoliselt haldama nii olemasolevate kui ka uute kontode seadeid.

Olemasolevate kontode paroolisätete haldamine toimub käsu "passwd" kaudu, kuigi on ka teisi alternatiive. Saate määrata tulevikus loodavatele kontodele vaikeseadeid, kuid säästate teid iga uue konto vaikeseadete käsitsi muutmisest.

Seadistused on konfigureeritud konfiguratsioonifailis “/etc/login.defs”. Kuna fail asub kataloogis „/etc”, vajab see redigeerimiseks juurõigusi. Et vältida probleeme, mille puhul teete muudatusi ja ei saa neid õiguste puudumise tõttu salvestada, veenduge, et käivitaksite eelistatud tekstiredaktori sudo abil.

Soovitud jaotis asub faili keskel ja kannab pealkirja "Parooli vananemise juhtelemendid". Selles on kolm seadet: "PASS_MAX_DAYS", "PASS_MIN_DAYS" ja "PASS_WARN_AGE". Nende abil määratakse vastavalt sellele, mitu päeva võib parool kehtida enne lähtestamist, kui kiiresti pärast ühte paroolivahetust saab teha teise ja mitu päeva saab kasutaja hoiatuse enne parooli aegumist.

Parooli vananemise juhtelementide vaikeväärtused leiate ja konfigureeritakse failist „/etc/login.defs”.

"PASS_MAX_DAYS" on vaikimisi 99999, mida kasutatakse näitamaks, et paroolid ei peaks automaatselt aeguma. „PASS_MIN_DAYS” vaikeväärtus on 0, mis tähendab, et kasutajad saavad oma parooli muuta nii sageli kui soovivad.

Näpunäide. Parooli vanuse miinimumpiir on tavaliselt kombineeritud parooliajaloo mehhanismiga, et takistada kasutajaid oma parooli muutmast ja seejärel selle kohe vanaks muutmast.

„PASS_WARN_AGE” on vaikimisi seitse päeva. Seda väärtust kasutatakse ainult siis, kui kasutaja parool on tegelikult konfigureeritud aeguma.

Kuidas konfigureerida uute kontode jaoks parooli vananemise vaikeseadeid

Kui soovite neid väärtusi konfigureerida nii, et paroolid aeguvad automaatselt iga 90 päeva järel, rakendatakse ühepäevast minimaalset vanust ja kasutajaid hoiatatakse 14 päeva enne nende aegumist, peaksite määrama väärtused "90", "1" ja " vastavalt 14 tolli. Kui olete soovitud muudatused teinud, salvestage fail. Kõigile uutele kontodele, mis luuakse pärast faili värskendamist, rakendatakse vaikimisi teie konfigureeritud sätteid.

Väärtused vastavalt "90", "1" ja "14" konfigureerivad paroolid nii, et need aeguksid automaatselt iga 90 päeva järel, neid saaks vahetada kõige rohkem üks kord päevas ja hoiatatakse kasutajaid, et parooli tuleb neliteist päeva enne aegumist muuta.

Märkus. Kui poliitika seda ei nõua, peaksite vältima paroolide konfigureerimist aja jooksul automaatselt aeguma. NCSC, NIST ja laiem küberjulgeoleku kogukond soovitavad nüüd paroolid aeguda ainult siis, kui on põhjendatud kahtlus, et need on ohustatud. Selle põhjuseks on uuringud, mis on näidanud, et regulaarne kohustuslik parooli lähtestamine sunnib kasutajaid valima nõrgemaid ja vormelilisemaid paroole, mida on lihtsam ära arvata. Kui kasutajad ei ole sunnitud regulaarselt uut parooli looma ja meeles pidama, suudavad nad paremini luua pikemaid, keerukamaid ja üldiselt tugevamaid paroole.