Linux: Kako konfigurirati privzete nastavitve staranja gesla za nove račune

Če upravljate sistem Linux, je ena od nalog, ki jih boste morda morali narediti, upravljanje gesel za nastavitve za uporabniške račune. Kot del tega postopka boste verjetno morali upravljati nastavitve za obstoječe in nove račune.

Upravljanje nastavitev gesla za obstoječe račune poteka z ukazom »passwd«, čeprav obstajajo druge možnosti. Nastavite lahko privzete nastavitve za račune, ki bodo ustvarjeni v prihodnosti, vendar vas prihranijo pred ročnim spreminjanjem privzetih nastavitev za vsak nov račun.

Nastavitve so konfigurirane v konfiguracijski datoteki “/etc/login.defs”. Ker se datoteka nahaja v imeniku »/etc«, bo za urejanje zahtevala korenska dovoljenja. Če se želite izogniti kakršnim koli težavam, pri katerih naredite spremembe in jih ne morete shraniti, ker nimate dovoljenj, poskrbite, da zaženete želeni urejevalnik besedil s sudo.

Razdelek, ki ga želite, je blizu sredine datoteke in ima naslov »Nadzor staranja gesla«. V njem so tri nastavitve, "PASS_MAX_DAYS", "PASS_MIN_DAYS" in "PASS_WARN_AGE". Te se uporabljajo za nastavitev, koliko dni je lahko geslo veljavno, preden ga je treba ponastaviti, kako kmalu po eni spremembi gesla je mogoče izvesti drugo in koliko dni prejme uporabnik opozorilo, preden mu poteče geslo.

Privzete vrednosti za nadzor staranja gesla lahko najdete in konfigurirate v datoteki “/etc/login.defs”.

»PASS_MAX_DAYS« je privzeto nastavljeno na 99999, ki se uporablja za označevanje, da gesla ne smejo samodejno poteči. »PASS_MIN_DAYS« je privzeto nastavljeno na 0, kar pomeni, da lahko uporabniki spreminjajo svoje geslo tako pogosto, kot želijo.

Nasvet: Najnižja omejitev starosti gesla je običajno združena z mehanizmom zgodovine gesel, da se prepreči uporabnikom, da bi spremenili svoje geslo in ga nato takoj spremenili nazaj na tisto, kar je bilo včasih.

»PASS_WARN_AGE« je privzeto nastavljeno na sedem dni. Ta vrednost se uporablja samo, če je uporabniško geslo dejansko konfigurirano tako, da poteče.

Kako konfigurirati privzete nastavitve staranja gesla za nove račune

Če želite te vrednosti konfigurirati tako, da gesla samodejno potečejo vsakih 90 dni, se uporabi minimalna starost enega dneva, uporabniki pa so opozorjeni 14 dni pred potekom, morate nastaviti vrednosti »90«, »1« in » 14" oz. Ko naredite želene spremembe, shranite datoteko. Za vse nove račune, ki so ustvarjeni po posodobitvi datoteke, bodo privzeto uporabljene nastavitve, ki ste jih konfigurirali.

Vrednosti »90«, »1« in »14« konfigurirajo gesla tako, da samodejno potečejo vsakih 90 dni, se spreminjajo največ enkrat na dan in uporabnikom zagotavljajo opozorila, da je treba njihovo geslo spremeniti štirinajst dni pred potekom.

Opomba: Razen če to zahtevajo pravilniki, se izogibajte konfiguriranju gesel tako, da sčasoma samodejno potečejo. NCSC, NIST in širša skupnost za kibernetsko varnost zdaj priporočajo, da gesla potečejo le, če obstaja utemeljen sum, da so bila ogrožena. To je posledica raziskav, ki so pokazale, da redne obvezne ponastavitve gesel aktivno potiskajo uporabnike k izbiri šibkejših in bolj formuliranih gesel, ki jih je lažje uganiti. Ko uporabniki niso prisiljeni redno ustvarjati in si zapomniti novo geslo, so boljši pri ustvarjanju daljših, bolj zapletenih in na splošno močnejših gesel.