Linux: jak skonfigurować domyślne ustawienia starzenia się hasła dla nowych kont

Jeśli zarządzasz systemem Linux, jednym z zadań, które możesz wykonać, jest zarządzanie hasłami ustawień kont użytkowników. W ramach tego procesu prawdopodobnie będziesz musiał zarządzać ustawieniami zarówno istniejących, jak i nowych kont.

Zarządzanie ustawieniami haseł dla istniejących kont odbywa się za pomocą polecenia „passwd”, chociaż istnieją inne alternatywy. Możesz ustawić domyślne ustawienia dla kont, które zostaną utworzone w przyszłości, oszczędzając Ci jednak konieczności ręcznej zmiany ustawień domyślnych dla każdego nowego konta.

Ustawienia są konfigurowane w pliku konfiguracyjnym „/etc/login.defs”. Ponieważ plik znajduje się w katalogu „/ etc”, będzie wymagał uprawnień administratora do edycji. Aby uniknąć problemów, w których wprowadzasz zmiany, a następnie nie możesz ich zapisać, ponieważ nie masz uprawnień, upewnij się, że uruchamiasz preferowany edytor tekstu za pomocą sudo.

Żądana sekcja znajduje się w pobliżu środka pliku i nosi tytuł „Kontrola starzenia się haseł”. Zawiera trzy ustawienia: „PASS_MAX_DAYS”, „PASS_MIN_DAYS” i „PASS_WARN_AGE”. Odpowiednio są one używane do określenia, przez ile dni hasło może być ważne, zanim będzie trzeba je zresetować, jak szybko po zmianie jednego hasła można wprowadzić inne oraz ile dni otrzymuje ostrzeżenie, zanim jego hasło wygaśnie.

Domyślne wartości kontroli starzenia się haseł można znaleźć i skonfigurować w pliku „/etc/login.defs”.

Wartość domyślna „PASS_MAX_DAYS” to 99999, która jest używana do wskazania, że ​​hasła nie powinny automatycznie wygasać. „PASS_MIN_DAYS” domyślnie to 0, co oznacza, że ​​użytkownicy mogą zmieniać swoje hasło tak często, jak chcą.

Wskazówka: Minimalny limit wieku hasła jest zwykle połączony z mechanizmem historii haseł, aby uniemożliwić użytkownikom zmianę hasła, a następnie natychmiastową zmianę go z powrotem do poprzedniego.

„PASS_WARN_AGE” to domyślnie siedem dni. Ta wartość jest używana tylko wtedy, gdy hasło użytkownika jest faktycznie skonfigurowane do wygaśnięcia.

Jak skonfigurować domyślne ustawienia starzenia się hasła dla nowych kont?

Jeśli chcesz skonfigurować te wartości, aby hasła wygasały automatycznie co 90 dni, obowiązywał minimalny wiek jednego dnia, a użytkownicy byli ostrzegani na 14 dni przed wygaśnięciem, należy ustawić wartości „90”, „1” i „ 14” odpowiednio. Po wprowadzeniu żądanych zmian zapisz plik. Wszystkie nowe konta utworzone po zaktualizowaniu pliku będą miały domyślnie zastosowane do nich skonfigurowane ustawienia.

Wartości odpowiednio „90”, „1” i „14” konfigurują hasła tak, aby automatycznie wygasały co 90 dni, były zmieniane co najwyżej raz dziennie i ostrzegają użytkowników, że ich hasło wymaga zmiany na czternaście dni przed wygaśnięciem.

Uwaga: jeśli nie jest to wymagane przez zasady, należy unikać konfigurowania haseł, które z czasem wygasają automatycznie. NCSC, NIST i szersza społeczność cyberbezpieczeństwa zalecają teraz, aby hasła wygasały tylko wtedy, gdy istnieje uzasadnione podejrzenie, że zostały naruszone. Wynika to z badań, które wykazały, że regularne obowiązkowe resetowanie haseł aktywnie skłania użytkowników do wybierania słabszych i bardziej schematycznych haseł, które są łatwiejsze do odgadnięcia. Gdy użytkownicy nie są zmuszani do regularnego tworzenia i zapamiętywania nowego hasła, lepiej radzą sobie z tworzeniem dłuższych, bardziej złożonych i ogólnie silniejszych haseł.