Linux: come configurare le impostazioni di durata della password predefinita per i nuovi account

Se stai gestendo un sistema Linux, una delle attività che potresti dover svolgere è gestire le password delle impostazioni per gli account utente. Come parte di questo processo, probabilmente dovrai gestire le impostazioni sia per gli account esistenti che per quelli nuovi.

La gestione delle impostazioni della password per gli account esistenti viene eseguita tramite il comando "passwd", sebbene esistano altre alternative. È possibile impostare le impostazioni predefinite per gli account che verranno creati in futuro, tuttavia, evitando di modificare manualmente le impostazioni predefinite per ogni nuovo account.

Le impostazioni sono configurate nel file di configurazione "/etc/login.defs". Poiché il file si trova nella directory "/etc", richiederà i permessi di root per la modifica. Per evitare problemi in cui apporti modifiche e non puoi salvarle perché non disponi delle autorizzazioni, assicurati di avviare il tuo editor di testo preferito con sudo.

La sezione desiderata si trova vicino alla metà del file ed è intitolata "Controlli dell'invecchiamento della password". In esso ci sono tre impostazioni, "PASS_MAX_DAYS", "PASS_MIN_DAYS" e "PASS_WARN_AGE". Rispettivamente questi vengono utilizzati per impostare per quanti giorni una password può essere valida prima di dover essere reimpostata, quanto tempo dopo la modifica di una password può essere effettuata un'altra e quanti giorni di avviso un utente riceve prima che la sua password sia scaduta.

I valori predefiniti per i controlli sull'invecchiamento della password possono essere trovati e configurati nel file "/etc/login.defs".

Il valore predefinito di "PASS_MAX_DAYS" è 99999 che viene utilizzato per indicare che le password non devono scadere automaticamente. Il valore predefinito di "PASS_MIN_DAYS" è 0, il che significa che gli utenti possono modificare la password tutte le volte che vogliono.

Suggerimento: un limite minimo per l'età della password è normalmente combinato con un meccanismo di cronologia delle password per impedire agli utenti di modificare la propria password e quindi di riportarla immediatamente a quella di una volta.

Il valore predefinito di "PASS_WARN_AGE" è sette giorni. Questo valore viene utilizzato solo se la password di un utente è effettivamente configurata per scadere.

Come configurare le impostazioni di durata della password predefinita per i nuovi account

Se si desidera configurare questi valori in modo che le password scadano automaticamente ogni 90 giorni, viene applicata un'età minima di un giorno e gli utenti vengono avvisati 14 giorni prima della scadenza, è necessario impostare i valori "90", "1" e " 14” rispettivamente. Dopo aver apportato le modifiche desiderate, salva il file. Tutti i nuovi account creati dopo l'aggiornamento del file avranno le impostazioni configurate applicate per impostazione predefinita.

I valori "90", "1" e "14" rispettivamente, configurano le password in modo che scadano automaticamente ogni 90 giorni, vengano modificate al massimo una volta al giorno e avvisano gli utenti che la loro password deve essere modificata quattordici giorni prima della scadenza.

Nota: a meno che non sia richiesto dai criteri, dovresti evitare di configurare le password in modo che scadano automaticamente nel tempo. L'NCSC, il NIST e la più ampia comunità di sicurezza informatica ora raccomandano che le password siano scadute solo quando vi è il ragionevole sospetto che siano state compromesse. Ciò è dovuto a ricerche che hanno dimostrato che le reimpostazioni obbligatorie regolari delle password spingono attivamente gli utenti a scegliere password più deboli e formulate, più facili da indovinare. Quando gli utenti non sono obbligati a creare e ricordare regolarmente una nuova password, sono più bravi a creare password più lunghe, più complesse e generalmente più efficaci.