Linux: de standaardinstellingen voor wachtwoordveroudering voor nieuwe accounts configureren

Als u een Linux-systeem beheert, is een van de taken die u mogelijk moet doen het beheren van de instellingenwachtwoorden voor gebruikersaccounts. Als onderdeel van dit proces moet u waarschijnlijk de instellingen voor zowel bestaande als nieuwe accounts beheren.

Het beheren van de wachtwoordinstellingen voor bestaande accounts gebeurt via de opdracht "passwd", hoewel er andere alternatieven zijn. U kunt standaardinstellingen instellen voor accounts die in de toekomst worden gemaakt, maar u hoeft de standaardinstellingen voor elk nieuw account niet handmatig te wijzigen.

De instellingen worden geconfigureerd in het configuratiebestand “/etc/login.defs”. Omdat het bestand zich in de map "/etc" bevindt, heeft het rootrechten nodig om te bewerken. Om problemen te voorkomen waarbij u wijzigingen aanbrengt en ze vervolgens niet kunt opslaan omdat u geen machtigingen hebt, moet u ervoor zorgen dat u uw favoriete teksteditor start met sudo.

Het gewenste gedeelte bevindt zich in het midden van het bestand en heeft de titel "Besturingselementen voor wachtwoordveroudering". Daarin zijn drie instellingen, "PASS_MAX_DAYS", "PASS_MIN_DAYS" en "PASS_WARN_AGE". Deze worden respectievelijk gebruikt om in te stellen hoeveel dagen een wachtwoord geldig kan zijn voordat het opnieuw moet worden ingesteld, hoe snel nadat het ene wachtwoord is gewijzigd, een ander kan worden gemaakt en hoeveel dagen een gebruiker wordt gewaarschuwd voordat zijn wachtwoord is verlopen.

De standaardwaarden voor wachtwoordverouderingscontroles kunnen worden gevonden en geconfigureerd in het bestand "/etc/login.defs".

"PASS_MAX_DAYS" is standaard 99999, wat wordt gebruikt om aan te geven dat wachtwoorden niet automatisch moeten verlopen. "PASS_MIN_DAYS" is standaard ingesteld op 0, wat betekent dat gebruikers hun wachtwoord zo vaak kunnen wijzigen als ze willen.

Tip: Een minimale limiet voor de wachtwoordleeftijd wordt normaal gesproken gecombineerd met een wachtwoordgeschiedenismechanisme om te voorkomen dat gebruikers hun wachtwoord wijzigen en het vervolgens onmiddellijk terugzetten naar wat het was.

'PASS_WARN_AGE' is standaard zeven dagen. Deze waarde wordt alleen gebruikt als het wachtwoord van een gebruiker daadwerkelijk is geconfigureerd om te verlopen.

De standaardinstellingen voor wachtwoordveroudering configureren voor nieuwe accounts

Als u deze waarden zo wilt configureren dat wachtwoorden elke 90 dagen automatisch verlopen, er een minimumleeftijd van één dag wordt gehanteerd en gebruikers 14 dagen voordat ze verlopen worden gewaarschuwd, moet u de waarden "90", "1" en " instellen 14" respectievelijk. Nadat u de gewenste wijzigingen heeft aangebracht, slaat u het bestand op. Alle nieuwe accounts die worden gemaakt nadat u het bestand hebt bijgewerkt, hebben standaard de instellingen die u hebt geconfigureerd.

Waarden "90", "1" en "14" respectievelijk, configureren wachtwoorden om elke 90 dagen automatisch te verlopen, worden maximaal één keer per dag gewijzigd en geven gebruikers waarschuwingen dat hun wachtwoord veertien dagen voordat het verloopt moet worden gewijzigd.

Opmerking: Tenzij het beleid verplicht is, moet u voorkomen dat wachtwoorden zo worden geconfigureerd dat ze na verloop van tijd automatisch verlopen. Het NCSC, NIST en de bredere cybersecurity-gemeenschap bevelen nu aan dat wachtwoorden alleen verlopen als er een redelijk vermoeden bestaat dat ze zijn gecompromitteerd. Dit is te wijten aan onderzoek dat heeft aangetoond dat regelmatige verplichte resets van wachtwoorden gebruikers actief aansporen om zwakkere en meer formule-achtige wachtwoorden te kiezen die gemakkelijker te raden zijn. Wanneer gebruikers niet worden gedwongen om regelmatig een nieuw wachtwoord te maken en te onthouden, zijn ze beter in het maken van langere, complexere en over het algemeen sterkere wachtwoorden.