Linux: як налаштувати параметри старіння пароля за замовчуванням для нових облікових записів

Якщо ви керуєте системою Linux, одне із завдань, яке вам доведеться виконати, — це керувати паролями налаштувань для облікових записів користувачів. У рамках цього процесу вам, ймовірно, потрібно буде керувати налаштуваннями як для наявних, так і для нових облікових записів.

Керування налаштуваннями паролів для існуючих облікових записів здійснюється за допомогою команди «passwd», хоча є й інші альтернативи. Ви можете встановити параметри за замовчуванням для облікових записів, які будуть створені в майбутньому, однак, позбавляючи вас від ручної зміни налаштувань за замовчуванням для кожного нового облікового запису.

Налаштування налаштовуються у файлі конфігурації «/etc/login.defs». Оскільки файл розташований у каталозі «/etc», для редагування йому знадобляться права root. Щоб уникнути проблем, коли ви вносите зміни, а потім не можете їх зберегти, оскільки у вас немає дозволів, переконайтеся, що ви запускаєте бажаний текстовий редактор за допомогою sudo.

Потрібний розділ знаходиться ближче до середини файлу і має назву «Контроль старіння пароля». У ньому три налаштування: «PASS_MAX_DAYS», «PASS_MIN_DAYS» і «PASS_WARN_AGE». Відповідно, вони використовуються, щоб встановити, скільки днів пароль може бути дійсним, перш ніж його потрібно буде скинути, як скоро після однієї зміни пароля можна зробити інший, і скільки днів користувач отримує попередження до закінчення терміну дії пароля.

Значення за замовчуванням для контролю старіння пароля можна знайти та налаштувати у файлі “/etc/login.defs”.

«PASS_MAX_DAYS» за замовчуванням має значення 99999, яке використовується для вказівки на те, що термін дії паролів не закінчується автоматично. «PASS_MIN_DAYS» за замовчуванням дорівнює 0, що означає, що користувачі можуть змінювати свій пароль так часто, як їм заманеться.

Порада: мінімальне обмеження терміну дії пароля зазвичай поєднується з механізмом історії паролів, щоб запобігти зміні пароля користувачами, а потім негайному поверненню його до колишнього.

"PASS_WARN_AGE" за умовчанням становить сім днів. Це значення використовується лише в тому випадку, якщо пароль користувача дійсно налаштовано на закінчення терміну дії.

Як налаштувати параметри старіння пароля за замовчуванням для нових облікових записів

Якщо ви хочете налаштувати ці значення так, щоб термін дії паролів автоматично закінчувався кожні 90 днів, застосовується мінімальний вік в один день, а користувачів попереджають за 14 днів до закінчення терміну дії, вам слід встановити значення «90», «1» і « 14” відповідно. Після того як ви внесете потрібні зміни, збережіть файл. До всіх нових облікових записів, створених після оновлення файлу, за замовчуванням застосовуватимуться налаштування, які ви налаштували.

Значення «90», «1» і «14» відповідно налаштовують паролі на автоматичне закінчення терміну дії кожні 90 днів, змінюють щонайбільше один раз на день і надають користувачам попередження про те, що їхній пароль потрібно змінити за чотирнадцять днів до закінчення терміну дії.

Примітка. Якщо не передбачено політикою, вам слід уникати налаштування паролів на автоматичне завершення терміну дії з часом. NCSC, NIST та широке співтовариство з кібербезпеки тепер рекомендують, щоб паролі втратили термін дії лише тоді, коли є обґрунтована підозра, що вони були зламані. Це пов’язано з дослідженнями, які показали, що регулярні обов’язкові скидання паролів активно підштовхують користувачів до вибору більш слабких і стандартних паролів, які легше вгадати. Коли користувачів не змушують регулярно створювати та запам’ятовувати новий пароль, вони краще створюють довші, складніші та загалом надійніші паролі.