Linux: Kako konfigurirati zadane postavke starenja lozinke za nove račune

Ako upravljate Linux sustavom, jedan od zadataka koji ćete možda morati učiniti je upravljanje lozinkama postavki za korisničke račune. Kao dio ovog procesa, vjerojatno ćete morati upravljati postavkama za postojeće i nove račune.

Upravljanje postavkama lozinke za postojeće račune vrši se putem naredbe "passwd", iako postoje i druge alternative. Možete postaviti zadane postavke za račune koji će biti stvoreni u budućnosti, međutim, štedi vas od ručne promjene zadanih postavki za svaki novi račun.

Postavke se konfiguriraju u konfiguracijskoj datoteci “/etc/login.defs”. Kako se datoteka nalazi u direktoriju “/etc”, za uređivanje će joj trebati root prava. Kako biste izbjegli probleme u kojima unosite promjene, a zatim ih ne možete spremiti jer nemate dopuštenja, provjerite jeste li pokrenuli željeni uređivač teksta pomoću sudoa.

Odjeljak koji želite nalazi se blizu sredine datoteke i naslovljen je "Kontrole starenja lozinke". U njemu se nalaze tri postavke, “PASS_MAX_DAYS”, “PASS_MIN_DAYS” i “PASS_WARN_AGE”. Odnosno, oni se koriste za postavljanje koliko dana lozinka može biti valjana prije nego što je treba poništiti, koliko brzo nakon jedne promjene lozinke može se izvršiti druga i koliko dana će korisnik dobiti upozorenje prije nego što je njegova lozinka istekla.

Zadane vrijednosti za kontrole starenja lozinke mogu se pronaći i konfigurirati u datoteci “/etc/login.defs”.

“PASS_MAX_DAYS” je zadana vrijednost 99999 što se koristi za označavanje da lozinke ne bi trebale automatski isteći. “PASS_MIN_DAYS” je zadana vrijednost 0 što znači da korisnici mogu mijenjati svoju lozinku koliko god često žele.

Savjet: Minimalno ograničenje starosti lozinke obično se kombinira s mehanizmom povijesti zaporke kako bi se spriječilo da korisnici promijene svoju zaporku, a zatim je odmah vrate na ono što je prije bila.

“PASS_WARN_AGE” je zadano na sedam dana. Ova se vrijednost koristi samo ako je korisnička lozinka stvarno konfigurirana da istekne.

Kako konfigurirati zadane postavke starenja lozinke za nove račune

Ako želite konfigurirati ove vrijednosti tako da lozinke automatski istječu svakih 90 dana, primjenjuje se minimalna dob od jednog dana, a korisnici su upozoreni 14 dana prije isteka da biste trebali postaviti vrijednosti "90", "1" i " 14” odnosno. Nakon što izvršite željene promjene, spremite datoteku. Svi novi računi koji se kreiraju nakon ažuriranja datoteke prema zadanim će postavkama imati primijenjene postavke koje ste konfigurirali.

Vrijednosti "90", "1" i "14" respektivno, konfiguriraju lozinke da automatski istječu svakih 90 dana, mijenjaju se najviše jednom dnevno i pružaju upozorenja korisnicima da je njihova lozinka potrebno promijeniti četrnaest dana prije isteka.

Napomena: Osim ako to ne nalažu pravila, trebali biste izbjegavati konfiguriranje zaporki tako da s vremenom isteknu automatski. NCSC, NIST i šira zajednica kibernetičke sigurnosti sada preporučuju da lozinke isteku samo kada postoji opravdana sumnja da su kompromitirane. To je zbog istraživanja koje je pokazalo da redovita obvezna poništavanja lozinki aktivno potiču korisnike prema odabiru slabijih i formulativnijih lozinki koje je lakše pogoditi. Kada korisnici nisu prisiljeni redovito izrađivati ​​i pamtiti novu zaporku, bolji su u stvaranju duljih, složenijih i općenito jačih lozinki.