Linux: Slik konfigurerer du standardinnstillingene for passordaldring for nye kontoer

Hvis du administrerer et Linux-system, er en av oppgavene du kanskje må gjøre å administrere innstillingspassordene for brukerkontoer. Som en del av denne prosessen må du sannsynligvis administrere innstillingene for både eksisterende og nye kontoer.

Administrering av passordinnstillingene for eksisterende kontoer gjøres gjennom "passwd"-kommandoen, selv om det finnes andre alternativer. Du kan angi standardinnstillinger for kontoer som vil bli opprettet i fremtiden, men du slipper å endre standardinnstillingene manuelt for hver nye konto.

Innstillingene er konfigurert i konfigurasjonsfilen "/etc/login.defs". Siden filen ligger i "/etc"-katalogen, vil den kreve rottillatelser for å redigere. For å unngå problemer der du gjør endringer og ikke kan lagre dem fordi du ikke har tillatelser, sørg for at du starter din foretrukne tekstredigerer med sudo.

Seksjonen du ønsker er nær midten av filen og har tittelen "Passord aldring kontroller". I den er tre innstillinger, "PASS_MAX_DAYS", "PASS_MIN_DAYS" og "PASS_WARN_AGE". Disse brukes til å angi hvor mange dager et passord kan være gyldig før det må tilbakestilles, hvor raskt etter en passordendring kan foretas et annet, og hvor mange dager advarsel en bruker får før passordet utløper.

Standardverdiene for passordaldringskontroller kan finnes og konfigureres i filen "/etc/login.defs".

"PASS_MAX_DAYS" er standard til 99999 som brukes til å indikere at passord ikke skal utløpe automatisk. "PASS_MIN_DAYS" er standard til 0, noe som betyr at brukere kan endre passordet så ofte de vil.

Tips: En minimumsgrense på passordalder kombineres normalt med en passordhistorikkmekanisme for å hindre brukere i å endre passordet sitt og deretter umiddelbart endre det tilbake til det det pleide å være.

«PASS_WARN_AGE» er som standard syv dager. Denne verdien brukes bare hvis en brukers passord faktisk er konfigurert til å utløpe.

Slik konfigurerer du standardinnstillingene for aldring av passord for nye kontoer

Hvis du vil konfigurere disse verdiene slik at passord automatisk utløper hver 90. dag, en minimumsalder på én dag brukes, og brukere blir advart 14 dager før de utløper, bør du angi verdiene "90", "1" og " 14" henholdsvis. Når du har gjort de endringene du ønsker, lagrer du filen. Alle nye kontoer som opprettes etter at du oppdaterer filen vil ha innstillingene du konfigurerte brukt på seg som standard.

Verdiene "90", "1" og "14" henholdsvis konfigurerer passord til å utløpe automatisk hver 90. dag, endres maksimalt én gang per dag, og gir brukere advarsler om at passordet deres må endres fjorten dager før det utløper.

Merk: Med mindre det er pålagt av retningslinjer, bør du unngå å konfigurere passord til å utløpe automatisk over tid. NCSC, NIST og det bredere nettsikkerhetssamfunnet anbefaler nå at passord bare utløper når det er rimelig mistanke om at de har blitt kompromittert. Dette skyldes forskning som har vist at regelmessige obligatoriske tilbakestillinger av passord aktivt presser brukere mot å velge svakere og mer formele passord som er lettere å gjette. Når brukere ikke blir tvunget til regelmessig å lage og huske et nytt passord, er de flinkere til å lage lengre, mer komplekse og generelt sterkere passord.