Linux: Az alapértelmezett jelszó-öregedési beállítások konfigurálása új fiókokhoz

Ha Linux rendszert kezel, akkor előfordulhat, hogy a felhasználói fiókokhoz tartozó beállítások jelszavait kell kezelnie. Ennek a folyamatnak a részeként valószínűleg kezelnie kell a meglévő és az új fiókok beállításait is.

A meglévő fiókokhoz tartozó jelszóbeállítások kezelése a „passwd” paranccsal történik, bár vannak más alternatívák is. Beállíthatja az alapértelmezett beállításokat a jövőben létrehozandó fiókokhoz, de megóvja Önt attól, hogy minden egyes új fióknál manuálisan módosítsa az alapértelmezett beállításokat.

A beállítások az „/etc/login.defs” konfigurációs fájlban vannak megadva. Mivel a fájl a „/etc” könyvtárban található, a szerkesztéséhez root jogosultság szükséges. Az olyan problémák elkerülése érdekében, amikor módosításokat hajt végre, majd nem tudja elmenteni azokat, mert nincs engedélye, győződjön meg arról, hogy a kívánt szövegszerkesztőt a sudo segítségével indítja el.

A kívánt szakasz a fájl közepe közelében található, és a „Jelszó öregedési vezérlői” címet viseli. Ebben három beállítás található: „PASS_MAX_DAYS”, „PASS_MIN_DAYS” és „PASS_WARN_AGE”. Illetve ezekkel lehet beállítani, hogy egy jelszó hány napig legyen érvényes, mielőtt vissza kell állítani, mennyi idő múlva lehet egy másik jelszómódosítást végrehajtani, és hány napig kaphat figyelmeztetést a felhasználó a jelszava lejárta előtt.

A jelszó öregedési vezérlőinek alapértelmezett értékei az „/etc/login.defs” fájlban találhatók és konfigurálhatók.

A „PASS_MAX_DAYS” alapértelmezett értéke 99999, amely azt jelzi, hogy a jelszavak nem járnak le automatikusan. A „PASS_MIN_DAYS” alapértelmezett értéke 0, ami azt jelenti, hogy a felhasználók bármikor módosíthatják jelszavukat.

Tipp: A jelszavak életkorának minimális korlátját rendszerint egy jelszóelőzmény-mechanizmussal kombinálják, hogy megakadályozzák a felhasználók jelszavának megváltoztatását, majd azonnali visszaállítását a régire.

A „PASS_WARN_AGE” alapértelmezett értéke hét nap. Ez az érték csak akkor használatos, ha a felhasználó jelszava valóban lejártra van konfigurálva.

Az alapértelmezett jelszó-öregedési beállítások konfigurálása új fiókokhoz

Ha úgy szeretné beállítani ezeket az értékeket, hogy a jelszavak 90 naponként automatikusan lejárjanak, akkor a rendszer egy napos minimális korhatárt alkalmaz, és a felhasználók 14 nappal a lejárat előtt figyelmeztetést kapnak, állítsa be a „90”, „1” és „ 14” ill. Miután elvégezte a kívánt módosításokat, mentse a fájlt. A fájl frissítése után létrehozott új fiókok alapértelmezés szerint a konfigurált beállításokat alkalmazzák.

A „90”, „1” és „14” értékek úgy konfigurálják a jelszavakat, hogy azok 90 naponta automatikusan lejárjanak, legfeljebb naponta egyszer módosíthatók, és figyelmeztetik a felhasználókat, hogy jelszavukat tizennégy nappal a lejárat előtt módosítani kell.

Megjegyzés: Hacsak a házirendek nem írják elő, kerülje a jelszavak idővel automatikusan lejárt konfigurálását. Az NCSC, a NIST és a szélesebb kiberbiztonsági közösség most azt javasolja, hogy a jelszavakat csak akkor járják le, ha megalapozottan gyanítható, hogy feltörték őket. Ez annak a kutatásnak köszönhető, amely kimutatta, hogy a rendszeres kötelező jelszó-visszaállítások aktívan arra késztetik a felhasználókat, hogy gyengébb és képletesebb jelszavakat válasszanak, amelyeket könnyebb kitalálni. Ha a felhasználókat nem kényszerítik arra, hogy rendszeresen új jelszót adjanak meg és emlékezzenek, jobban tudnak hosszabb, összetettebb és általában erősebb jelszavakat létrehozni.