Linux: วิธีกำหนดการตั้งค่าอายุรหัสผ่านเริ่มต้นสำหรับบัญชีใหม่

หากคุณกำลังจัดการระบบ Linux หนึ่งในงานที่คุณต้องทำคือจัดการรหัสผ่านการตั้งค่าสำหรับบัญชีผู้ใช้ ในกระบวนการนี้ คุณจะต้องจัดการการตั้งค่าสำหรับบัญชีที่มีอยู่และบัญชีใหม่

การจัดการการตั้งค่ารหัสผ่านสำหรับบัญชีที่มีอยู่ทำได้โดยใช้คำสั่ง “passwd” แม้ว่าจะมีทางเลือกอื่น คุณสามารถตั้งค่าเริ่มต้นสำหรับบัญชีที่จะสร้างขึ้นในอนาคต อย่างไรก็ตาม ช่วยให้คุณไม่ต้องเปลี่ยนค่าเริ่มต้นสำหรับบัญชีใหม่แต่ละบัญชี

การตั้งค่าได้รับการกำหนดค่าในไฟล์ปรับแต่ง “/etc/login.defs” เนื่องจากไฟล์อยู่ในไดเร็กทอรี "/ etc" จึงต้องมีการอนุญาต root เพื่อแก้ไข เพื่อหลีกเลี่ยงปัญหาที่คุณทำการเปลี่ยนแปลงแล้วไม่สามารถบันทึกได้เนื่องจากคุณไม่มีสิทธิ์ ตรวจสอบให้แน่ใจว่าคุณเปิดโปรแกรมแก้ไขข้อความที่ต้องการด้วย sudo

ส่วนที่คุณต้องการจะอยู่ใกล้ตรงกลางของไฟล์และมีชื่อว่า "การควบคุมอายุรหัสผ่าน" มีการตั้งค่าสามแบบ ได้แก่ “PASS_MAX_DAYS”, “PASS_MIN_DAYS” และ “PASS_WARN_AGE” ตามลำดับ สิ่งเหล่านี้ใช้เพื่อกำหนดจำนวนวันที่รหัสผ่านสามารถใช้ได้ก่อนที่จะต้องรีเซ็ต สามารถเปลี่ยนรหัสผ่านใหม่ได้เร็วแค่ไหน และเตือนผู้ใช้กี่วันก่อนที่รหัสผ่านจะหมดอายุ

ค่าเริ่มต้นสำหรับการควบคุมอายุรหัสผ่านสามารถค้นหาและกำหนดค่าได้ในไฟล์ “/etc/login.defs”

“PASS_MAX_DAYS” มีค่าเริ่มต้นเป็น 99999 ซึ่งใช้เพื่อระบุว่ารหัสผ่านไม่ควรหมดอายุโดยอัตโนมัติ “PASS_MIN_DAYS” มีค่าเริ่มต้นเป็น 0 ซึ่งหมายความว่าผู้ใช้สามารถเปลี่ยนรหัสผ่านได้บ่อยเท่าที่ต้องการ

เคล็ดลับ: โดยปกติขีดจำกัดอายุรหัสผ่านขั้นต่ำจะรวมกับกลไกประวัติรหัสผ่านเพื่อป้องกันไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านแล้วเปลี่ยนกลับไปเป็นเหมือนเดิมทันที

“PASS_WARN_AGE” มีค่าเริ่มต้นเป็นเจ็ดวัน ค่านี้ใช้เฉพาะในกรณีที่รหัสผ่านของผู้ใช้ได้รับการกำหนดค่าให้หมดอายุเท่านั้น

วิธีกำหนดการตั้งค่าอายุรหัสผ่านเริ่มต้นสำหรับบัญชีใหม่

หากคุณต้องการกำหนดค่าเหล่านี้เพื่อให้รหัสผ่านหมดอายุโดยอัตโนมัติทุกๆ 90 วัน อายุขั้นต่ำหนึ่งวันจะถูกใช้ และผู้ใช้จะได้รับคำเตือน 14 วันก่อนหมดอายุ คุณควรตั้งค่า "90", "1" และ " 14” ตามลำดับ เมื่อคุณได้ทำการเปลี่ยนแปลงที่ต้องการแล้ว ให้บันทึกไฟล์ บัญชีใหม่ใดๆ ที่สร้างขึ้นหลังจากที่คุณอัปเดตไฟล์จะมีการตั้งค่าที่คุณกำหนดไว้โดยค่าเริ่มต้น

ค่า "90", "1" และ "14" ตามลำดับ กำหนดค่ารหัสผ่านให้หมดอายุโดยอัตโนมัติทุกๆ 90 วัน เปลี่ยนได้มากที่สุดวันละครั้ง และแจ้งเตือนผู้ใช้ว่าต้องเปลี่ยนรหัสผ่านสิบสี่วันก่อนจะหมดอายุ

หมายเหตุ: คุณควรหลีกเลี่ยงการกำหนดค่ารหัสผ่านให้หมดอายุโดยอัตโนมัติเมื่อเวลาผ่านไป เว้นแต่จะได้รับคำสั่งจากนโยบาย NCSC, NIST และชุมชนความปลอดภัยทางไซเบอร์ในวงกว้างแนะนำว่ารหัสผ่านจะหมดอายุก็ต่อเมื่อมีความสงสัยว่ารหัสผ่านถูกบุกรุกเท่านั้น ทั้งนี้เนื่องมาจากการวิจัยที่แสดงให้เห็นว่าการรีเซ็ตรหัสผ่านแบบบังคับเป็นประจำจะผลักดันให้ผู้ใช้เลือกรหัสผ่านที่คาดเดาได้ยากกว่าและมีสูตรมากขึ้นซึ่งคาดเดาได้ง่ายขึ้น เมื่อผู้ใช้ไม่ได้ถูกบังคับให้สร้างและจำรหัสผ่านใหม่เป็นประจำ จะสร้างรหัสผ่านที่ยาวขึ้น ซับซ้อนขึ้น และโดยทั่วไปจะแข็งแกร่งกว่า