Linux：新しいアカウントのデフォルトのパスワードエージング設定を構成する方法

Linuxシステムを管理している場合、実行する必要のあるタスクの1つは、ユーザーアカウントの設定パスワードを管理することです。このプロセスの一環として、既存のアカウントと新しいアカウントの両方の設定を管理する必要がある場合があります。

既存のアカウントのパスワード設定の管理は、「passwd」コマンドを使用して実行されますが、他の方法もあります。将来作成されるアカウントのデフォルト設定を設定できますが、新しいアカウントごとにデフォルトを手動で変更する手間が省けます。

設定は、構成ファイル「/etc/login.defs」で構成されます。ファイルは「/ etc」ディレクトリにあるため、編集するにはroot権限が必要です。権限がないために変更を加えて保存できないという問題を回避するには、sudoを使用して好みのテキストエディタを起動してください。

必要なセクションはファイルの中央近くにあり、「パスワードエージングコントロール」というタイトルが付けられています。その中には、「PASS_MAX_DAYS」、「PASS_MIN_DAYS」、「PASS_WARN_AGE」の3つの設定があります。これらはそれぞれ、パスワードのリセットが必要になるまでの有効日数、パスワードの変更後すぐに別のパスワードを変更できる日数、およびパスワードの有効期限が切れる前にユーザーに警告を表示する日数を設定するために使用されます。

パスワードエージングコントロールのデフォルト値は、ファイル「/etc/login.defs」にあり、設定できます。

「PASS_MAX_DAYS」のデフォルトは99999で、パスワードが自動的に期限切れにならないことを示すために使用されます。「PASS_MIN_DAYS」のデフォルトは0です。これは、ユーザーがパスワードを何度でも変更できることを意味します。

ヒント：通常、パスワードの有効期限の最小制限は、ユーザーがパスワードを変更してすぐに以前のパスワードに戻すことを防ぐために、パスワード履歴メカニズムと組み合わされます。

「PASS_WARN_AGE」のデフォルトは7日です。この値は、ユーザーのパスワードが実際に期限切れになるように構成されている場合にのみ使用されます。

新しいアカウントのデフォルトのパスワードエージング設定を構成する方法

パスワードが90日ごとに自動的に期限切れになり、最低1日の有効期限が適用され、有効期限が切れる14日前にユーザーに警告が表示されるようにこれらの値を構成する場合は、値「90」、「1」、および「それぞれ14インチ。必要な変更を加えたら、ファイルを保存します。ファイルの更新後に作成された新しいアカウントには、設定した設定がデフォルトで適用されます。

それぞれ値「90」、「1」、および「14」は、パスワードが90日ごとに自動的に期限切れになり、最大で1日に1回変更されるように構成し、パスワードが期限切れになる14日前にパスワードを変更する必要があることをユーザーに警告します。

注：ポリシーで義務付けられている場合を除き、時間の経過とともに自動的に期限切れになるようにパスワードを構成することは避けてください。NCSC、NIST、およびより広範なサイバーセキュリティコミュニティは、パスワードが侵害された疑いがある場合にのみ、パスワードの有効期限が切れることを推奨しています。これは、定期的な必須のパスワードリセットにより、ユーザーが推測しやすい、より弱く、より公式なパスワードを選択するように積極的に推進することがわかった調査によるものです。ユーザーが定期的に新しいパスワードを作成して覚える必要がない場合、ユーザーはより長く、より複雑で、一般的に強力なパスワードを作成することに長けています。