Linux: kā konfigurēt noklusējuma paroles novecošanas iestatījumus jauniem kontiem

Ja pārvaldāt Linux sistēmu, viens no uzdevumiem, kas jums, iespējams, būs jāveic, ir pārvaldīt lietotāju kontu iestatījumu paroles. Šī procesa ietvaros jums, visticamāk, būs jāpārvalda gan esošo, gan jauno kontu iestatījumi.

Esošo kontu paroles iestatījumu pārvaldība tiek veikta, izmantojot komandu “passwd”, lai gan ir arī citas alternatīvas. Varat iestatīt noklusējuma iestatījumus kontiem, kas tiks izveidoti nākotnē, taču neļausiet manuāli mainīt katra jauna konta noklusējuma iestatījumus.

Iestatījumi ir konfigurēti konfigurācijas failā “/etc/login.defs”. Tā kā fails atrodas direktorijā “/etc”, tā rediģēšanai būs nepieciešamas saknes atļaujas. Lai izvairītos no problēmām, kad veicat izmaiņas un pēc tam nevarat tās saglabāt, jo jums nav atļauju, noteikti palaidiet vēlamo teksta redaktoru ar sudo.

Vēlamā sadaļa atrodas netālu no faila vidus, un tās nosaukums ir “Paroles novecošanas vadīklas”. Tajā ir trīs iestatījumi: “PASS_MAX_DAYS”, “PASS_MIN_DAYS” un “PASS_WARN_AGE”. Attiecīgi tie tiek izmantoti, lai iestatītu, cik dienas var būt derīga parole, pirms tā ir jāatiestata, cik ātri pēc vienas paroles maiņas var tikt veikta cita parole un cik dienu laikā lietotājs saņem brīdinājumu pirms paroles derīguma termiņa beigām.

Paroles novecošanas vadīklu noklusējuma vērtības var atrast un konfigurēt failā “/etc/login.defs”.

“PASS_MAX_DAYS” noklusējuma vērtība ir 99999, kas tiek izmantota, lai norādītu, ka parolēm nevajadzētu automātiski beigties. “PASS_MIN_DAYS” noklusējuma vērtība ir 0, kas nozīmē, ka lietotāji var mainīt savu paroli, cik bieži vien vēlas.

Padoms. Minimālais paroles vecuma ierobežojums parasti tiek apvienots ar paroles vēstures mehānismu, lai neļautu lietotājiem mainīt savu paroli un pēc tam nekavējoties mainīt to atpakaļ uz iepriekšējo.

“PASS_WARN_AGE” pēc noklusējuma ir septiņas dienas. Šī vērtība tiek izmantota tikai tad, ja lietotāja paroles derīguma termiņš ir faktiski konfigurēts.

Kā konfigurēt noklusējuma paroles novecošanas iestatījumus jauniem kontiem

Ja vēlaties konfigurēt šīs vērtības tā, lai parolēm automātiski beigtos derīguma termiņš ik pēc 90 dienām, tiek piemērots vienas dienas minimālais vecums un lietotāji tiek brīdināti 14 dienas pirms to derīguma termiņa beigām, jums jāiestata vērtības “90”, “1” un “ 14” attiecīgi. Kad esat veicis vajadzīgās izmaiņas, saglabājiet failu. Visiem jaunajiem kontiem, kas izveidoti pēc faila atjaunināšanas, tiem pēc noklusējuma tiks piemēroti jūsu konfigurētie iestatījumi.

Vērtības “90”, “1” un “14” attiecīgi konfigurē paroles tā, lai tās automātiski beigtos ik pēc 90 dienām, lai tās tiktu mainītas ne vairāk kā vienu reizi dienā, un lietotājiem tiek sniegti brīdinājumi, ka parole ir jāmaina četrpadsmit dienas pirms tās derīguma termiņa beigām.

Piezīme. Ja vien politikas to nenosaka, jums nevajadzētu konfigurēt paroles tā, lai laika gaitā tās automātiski beigtos. NCSC, NIST un plašāka kiberdrošības kopiena tagad iesaka paroļu derīguma termiņu beigties tikai tad, ja ir pamatotas aizdomas, ka tās ir apdraudētas. Tas ir saistīts ar pētījumiem, kas liecina, ka regulāra obligātā paroles atiestatīšana aktīvi mudina lietotājus izvēlēties vājākas un formulīgākas paroles, kuras ir vieglāk uzminēt. Ja lietotāji nav spiesti regulāri izveidot un atcerēties jaunu paroli, viņi labāk izveido garākas, sarežģītākas un kopumā spēcīgākas paroles.