Linux: So konfigurieren Sie die Standardeinstellungen für die Kennwortalterung für neue Konten

Wenn Sie ein Linux-System verwalten, müssen Sie möglicherweise die Einstellungskennwörter für Benutzerkonten verwalten. Als Teil dieses Vorgangs müssen Sie wahrscheinlich die Einstellungen für vorhandene und neue Konten verwalten.

Die Verwaltung der Passworteinstellungen für bestehende Konten erfolgt über den Befehl „passwd“, obwohl es auch andere Alternativen gibt. Sie können jedoch Standardeinstellungen für Konten festlegen, die in der Zukunft erstellt werden, sodass Sie die Standardeinstellungen für jedes neue Konto nicht manuell ändern müssen.

Die Einstellungen werden in der Konfigurationsdatei „/etc/login.defs“ konfiguriert. Da sich die Datei im Verzeichnis „/etc“ befindet, sind zum Bearbeiten Root-Berechtigungen erforderlich. Um Probleme zu vermeiden, bei denen Sie Änderungen vornehmen und diese dann nicht speichern können, weil Sie keine Berechtigungen haben, stellen Sie sicher, dass Sie Ihren bevorzugten Texteditor mit sudo starten.

Der gewünschte Abschnitt befindet sich in der Mitte der Datei und trägt den Titel „Password Aging Controls“. Darin befinden sich drei Einstellungen, „PASS_MAX_DAYS“, „PASS_MIN_DAYS“ und „PASS_WARN_AGE“. Diese werden verwendet, um festzulegen, wie viele Tage ein Passwort gültig sein kann, bevor es zurückgesetzt werden muss, wie schnell nach einer Passwortänderung eine andere vorgenommen werden kann und wie viele Tage ein Benutzer gewarnt wird, bevor sein Passwort abgelaufen ist.

Die Standardwerte für die Passwortalterungssteuerung können in der Datei „/etc/login.defs“ gefunden und konfiguriert werden.

„PASS_MAX_DAYS“ ist standardmäßig 99999, was verwendet wird, um anzuzeigen, dass Kennwörter nicht automatisch ablaufen sollen. „PASS_MIN_DAYS“ ist standardmäßig 0, was bedeutet, dass Benutzer ihr Passwort so oft ändern können, wie sie möchten.

Tipp: Eine Mindestaltersgrenze für Passwörter wird normalerweise mit einem Passwortverlaufsmechanismus kombiniert, um zu verhindern, dass Benutzer ihr Passwort ändern und es dann sofort wieder auf das frühere zurücksetzen.

„PASS_WARN_AGE“ beträgt standardmäßig sieben Tage. Dieser Wert wird nur verwendet, wenn das Kennwort eines Benutzers tatsächlich so konfiguriert ist, dass es abläuft.

So konfigurieren Sie die Standardeinstellungen für die Passwortalterung für neue Konten

Wenn Sie diese Werte so konfigurieren möchten, dass Passwörter automatisch alle 90 Tage ablaufen, ein Mindestalter von einem Tag gilt und Benutzer 14 Tage vor Ablauf gewarnt werden, sollten Sie die Werte „90“, „1“ und „ 14" bzw. Nachdem Sie die gewünschten Änderungen vorgenommen haben, speichern Sie die Datei. Auf alle neuen Konten, die nach dem Aktualisieren der Datei erstellt werden, werden standardmäßig die von Ihnen konfigurierten Einstellungen angewendet.

Die Werte „90“, „1“ bzw. „14“ konfigurieren Passwörter so, dass sie alle 90 Tage automatisch ablaufen, höchstens einmal pro Tag geändert werden und Benutzer warnen, dass ihr Passwort vierzehn Tage vor Ablauf geändert werden muss.

Hinweis: Sofern nicht durch Richtlinien vorgeschrieben, sollten Sie es vermeiden, Kennwörter so zu konfigurieren, dass sie mit der Zeit automatisch ablaufen. Das NCSC, NIST und die breitere Cybersicherheits-Community empfehlen nun, Passwörter nur dann ablaufen zu lassen, wenn ein begründeter Verdacht auf eine Kompromittierung besteht. Dies ist auf Untersuchungen zurückzuführen, die gezeigt haben, dass regelmäßige obligatorische Passwort-Resets die Benutzer aktiv dazu bringen, schwächere und formelhaftere Passwörter zu wählen, die leichter zu erraten sind. Wenn Benutzer nicht gezwungen sind, regelmäßig ein neues Kennwort zu erstellen und sich dieses zu merken, sind sie besser darin, längere, komplexere und im Allgemeinen stärkere Kennwörter zu erstellen.