Linux: Ako nakonfigurovať predvolené nastavenia starnutia hesla pre nové účty

Ak spravujete systém Linux, jednou z úloh, ktoré možno budete musieť urobiť, je spravovať heslá nastavení pre používateľské účty. V rámci tohto procesu budete pravdepodobne musieť spravovať nastavenia pre existujúce aj nové účty.

Správa nastavení hesla pre existujúce účty sa vykonáva pomocou príkazu „passwd“, aj keď existujú aj iné alternatívy. Môžete nastaviť predvolené nastavenia pre účty, ktoré sa vytvoria v budúcnosti, ale ušetríte si tak ručnú zmenu predvolených nastavení pre každý nový účet.

Nastavenia sa konfigurujú v konfiguračnom súbore “/etc/login.defs”. Keďže sa súbor nachádza v adresári „/etc“, na úpravu bude vyžadovať oprávnenia root. Aby ste predišli problémom, pri ktorých vykonáte zmeny a nebudete ich môcť uložiť, pretože nemáte povolenia, uistite sa, že spustíte preferovaný textový editor pomocou sudo.

Požadovaná sekcia sa nachádza v strede súboru a má názov „Ovládacie prvky starnutia hesla“. V ňom sú tri nastavenia „PASS_MAX_DAYS“, „PASS_MIN_DAYS“ a „PASS_WARN_AGE“. Používajú sa na nastavenie, koľko dní môže byť heslo platné, kým bude potrebné ho resetovať, ako skoro po zmene hesla je možné vykonať ďalšie a koľko dní dostane používateľ varovanie pred vypršaním platnosti hesla.

Predvolené hodnoty pre ovládanie starnutia hesiel možno nájsť a nakonfigurovať v súbore „/etc/login.defs“.

„PASS_MAX_DAYS“ je predvolene 99999, čo sa používa na označenie, že platnosť hesiel by nemala automaticky vypršať. „PASS_MIN_DAYS“ je predvolene nastavené na 0, čo znamená, že používatelia môžu meniť svoje heslo tak často, ako chcú.

Tip: Minimálny limit veku hesla sa bežne kombinuje s mechanizmom histórie hesiel, aby sa používateľom zabránilo zmeniť svoje heslo a potom ho okamžite zmeniť späť na to, čo bývalo.

Predvolená hodnota „PASS_WARN_AGE“ je sedem dní. Táto hodnota sa použije iba vtedy, ak je heslo používateľa skutočne nakonfigurované tak, aby vypršala platnosť.

Ako nakonfigurovať predvolené nastavenia starnutia hesla pre nové účty

Ak chcete tieto hodnoty nakonfigurovať tak, aby platnosť hesiel automaticky vypršala každých 90 dní, použije sa minimálny vek jeden deň a používatelia budú upozornení 14 dní pred uplynutím platnosti, mali by ste nastaviť hodnoty „90“, „1“ a „ 14” resp. Po vykonaní požadovaných zmien súbor uložte. Všetky nové účty, ktoré sa vytvoria po aktualizácii súboru, budú mať predvolene nastavené nastavenia, ktoré ste nakonfigurovali.

Hodnoty „90“, „1“ a „14“ konfigurujú heslá tak, aby ich platnosť automaticky vypršala každých 90 dní, aby sa menili maximálne raz za deň, a poskytujú používateľom upozornenia, že ich heslo je potrebné zmeniť štrnásť dní pred vypršaním platnosti.

Poznámka: Ak to nie je nariadené politikami, mali by ste sa vyhnúť konfigurácii hesiel tak, aby časom automaticky vypršala platnosť. NCSC, NIST a širšia komunita kybernetickej bezpečnosti teraz odporúčajú, aby platnosť hesiel vypršala len vtedy, keď existuje dôvodné podozrenie, že boli prezradené. Je to spôsobené výskumom, ktorý ukázal, že pravidelné povinné resetovanie hesla aktívne tlačí používateľov k výberu slabších a formulovanejších hesiel, ktoré sa dajú ľahšie uhádnuť. Keď používatelia nie sú nútení pravidelne vytvárať a pamätať si nové heslo, dokážu lepšie vytvárať dlhšie, zložitejšie a vo všeobecnosti silnejšie heslá.