Как заставить пользователей изменить свои пароли в Linux

К

Илья Титчев / Shutterstock



Пароли - залог безопасности учетной записи. Мы покажем вам, как сбросить пароли, установить срок действия пароля и принудительно изменить пароль в вашей сети Linux.

Пароль известен уже почти 60 лет

Мы доказываем компьютерам, что являемся тем, кем себя называем, с середины 1960-х годов, когда впервые был введен пароль. Необходимость, будучи матерью изобретения, Совместимая система разделения времени разработан в Массачусетский Институт Технологий нужен был способ идентифицировать разных людей в системе. Это также необходимо для того, чтобы люди не могли видеть файлы друг друга.





Фернандо Х. Корбато предложил схему, по которой каждому человеку назначается уникальный логин. Чтобы доказать, что кто-то был тем, кем они себя называли, они должны были использовать личный пароль для доступа к своей учетной записи.

Проблема с паролями в том, что они действуют как ключ. Любой, у кого есть ключ, может им воспользоваться. Если кто-то найдет, угадает или узнает ваш пароль, этот человек сможет получить доступ к вашей учетной записи. До того как многофакторная аутентификация доступен повсеместно, пароль - единственное, что удерживает посторонних ( субъекты угрозы , говоря языком кибербезопасности) вне вашей системы.



Реклама

Удаленные подключения с помощью Secure Shell (SSH) можно настроить на использование ключей SSH вместо паролей, и это здорово. Однако это только один способ подключения, и он не распространяется на локальный вход.

Очевидно, что управление паролями имеет жизненно важное значение, как и управление людьми, использующими эти пароли.

СВЯЗАННЫЙ: Как создать и установить ключи SSH из оболочки Linux



Анатомия пароля

В любом случае, что делает пароль хорошим? Что ж, хороший пароль должен иметь все следующие атрибуты:

  • Невозможно угадать или угадать.
  • Вы его больше нигде не использовали.
  • Он не участвовал в перебор и атака по словарю инструменты, которые они используют, когда пытаются взломать аккаунт.

    По-настоящему случайный пароль (например, 4HW @ HpJDBr% * Wt @ # b ~ aP) практически неуязвим, но, конечно, вы никогда его не вспомните. Мы настоятельно рекомендуем вам использовать менеджер паролей для онлайн-аккаунтов. Они генерируют сложные случайные пароли для всех ваших учетных записей в Интернете, и вам не нужно их запоминать - менеджер паролей предоставит вам правильный пароль.

    Для локальных учетных записей каждый человек должен создать свой собственный пароль. Им также нужно будет знать, какой пароль приемлемый, а какой нет. Им нужно будет сказать, чтобы они не использовали пароли для других учетных записей и т. Д.

    Реклама

    Эта информация обычно содержится в политике паролей организации. Он инструктирует людей использовать минимальное количество символов, смешивать прописные и строчные буквы, включать символы и знаки препинания и так далее.

    Однако, по мнению совершенно новая бумага г из команды в Университет Карнеги Меллон , все эти уловки мало или ничего не добавляют к надежности пароля. Исследователи обнаружили, что двумя ключевыми факторами надежности паролей являются то, что они должны содержать не менее 12 символов и достаточно надежны. Они измерили надежность пароля с помощью ряда программ-взломщиков, статистических методов и нейронных сетей.

    Минимум 12 символов поначалу может показаться устрашающим. Однако не думайте о пароле, а скорее о парольной фразе из трех или четырех не связанных друг с другом слов, разделенных знаками препинания.

    Например, Экспертная проверка паролей сказал, что потребуется 42 минуты, чтобы взломать chicago99, но 400 миллиардов лет, чтобы взломать chimney.purple.bag. Его также легко запомнить и набрать, и он содержит всего 18 символов.

    СВЯЗАННЫЙ: Почему вам следует использовать менеджер паролей и с чего начать

    Просмотр текущих настроек

    Прежде чем менять что-либо, связанное с паролем человека, благоразумно взглянуть на его текущие настройки. С помощью passwd команда, вы можете просмотреть их текущие настройки с его -S (статус) вариант. Обратите внимание, что вам также придется использовать sudo с passwd если вы работаете с настройками чужого пароля.

    Набираем следующее:

    -x

    Одна строка информации выводится в окно терминала, как показано ниже.

    В этом кратком ответе вы видите следующую информацию (слева направо):

      Имя пользователя для входа. Здесь появляется один из трех возможных индикаторов:
        П:Указывает, что у учетной записи есть действующий рабочий пароль. L:Означает, что учетная запись заблокирована владельцем учетной записи root. НАПРИМЕР:Пароль не установлен.
      Дата последней смены пароля. Минимальный возраст пароля:Минимальный период времени (в днях), который должен пройти между сбросами пароля, выполненными владельцем учетной записи. Однако владелец учетной записи root всегда может изменить любой пароль. Если это значение равно 0 (нулю), ограничения на частоту смены пароля отсутствуют. Максимальный возраст пароля:Владельцу учетной записи предлагается сменить пароль по достижении этого возраста. Это значение указывается в днях, поэтому значение 99 999 означает, что срок действия пароля никогда не истекает. Период предупреждения о смене пароля:Если установлен максимальный срок действия пароля, владелец учетной записи получит напоминания об изменении своего пароля. Первому из них будет отправлено количество дней, указанное здесь до даты сброса. Период бездействия пароля:Если кто-то не имеет доступа к системе в течение периода времени, который перекрывает крайний срок для сброса пароля, пароль этого человека не будет изменен. Это значение указывает, сколько дней после истечения срока действия пароля истечет льготный период. Если учетная запись остается неактивной в течение этого количества дней после истечения срока действия пароля, учетная запись блокируется. Значение -1 отключает льготный период.

    Установка максимального возраста пароля

    Чтобы установить период сброса пароля, вы можете использовать -x (максимальное количество дней) вариант с количеством дней. Не оставляйте пробелов между -S и цифры, поэтому введите его следующим образом:

    -e

    Реклама

    Нам сообщили, что срок годности был изменен, как показано ниже.

    Используйте -S (статус), чтобы проверить, что теперь значение равно 45:

    chage

    Теперь, через 45 дней, для этой учетной записи должен быть установлен новый пароль. Напоминания начнутся за семь дней до этого. Если новый пароль не будет установлен вовремя, эта учетная запись будет немедленно заблокирована.

    Принудительное немедленное изменение пароля

    Вы также можете использовать команду, чтобы другим пользователям в вашей сети пришлось изменить свои пароли при следующем входе в систему. Для этого вы должны использовать passwd (истекший) опцион, а именно:

    -l

    Затем нам сообщают, что информация об истечении срока действия пароля изменилась.

    Давайте проверим с помощью passwd -S вариант и посмотрите, что произошло:

    -E

    Реклама

    Дата последней смены пароля установлена ​​на первый день 1970 года. В следующий раз, когда этот человек попытается войти в систему, ему или ей придется сменить свой пароль. Они также должны предоставить свой текущий пароль, прежде чем они смогут ввести новый.

    Экран сброса пароля.

    Следует ли принудительно изменить пароль?

    Принуждение людей к регулярной смене паролей раньше было здравым смыслом. Это был один из стандартных шагов по обеспечению безопасности для большинства установок и считался хорошей деловой практикой.

    Сейчас мышление прямо противоположное. В Великобритании Национальный центр кибербезопасности настоятельно советует против принуждения к регулярному обновлению паролей , а Национальный институт стандартов и технологий в США соглашается. Обе организации рекомендуют принудительно изменить пароль только в том случае, если вы знаете или подозреваете, что существующий пароль известен другим .

    Принуждение людей к смене паролей становится однообразным и поощряет использование слабых паролей. Обычно люди начинают повторно использовать базовый пароль с пометкой даты или другого числа. Или они запишут их, потому что им так часто приходится их менять, что они не могут их запомнить.

    Две упомянутые выше организации рекомендуют следующие рекомендации по безопасности паролей:

      Используйте менеджер паролей:Как для сетевых, так и для локальных учетных записей. Включите двухфакторную аутентификацию:Везде, где это вариант, используйте его. Используйте надежную парольную фразу:Отличная альтернатива для тех учетных записей, которые не работают с менеджером паролей. Три или более слов, разделенных знаками препинания или символов, - хороший образец для подражания. Никогда не используйте пароль повторно:Избегайте использования того же пароля, который вы используете для другой учетной записи, и определенно не используйте пароль, указанный на Меня уговорили .
    Реклама

    Приведенные выше советы позволят вам установить безопасные средства доступа к вашим учетным записям. Как только у вас появятся эти рекомендации, придерживайтесь их. Почему Измените свой пароль если он прочный и надежный? Если он попадет в чужие руки - или вы подозреваете, что попал - вы можете его поменять.

    Однако иногда это решение не в ваших руках. Если полномочия принудительно изменят пароль, у вас не будет особого выбора. Вы можете отстаивать свою позицию и заявить о своей позиции, но если вы не начальник, вам придется следовать политике компании.

    СВЯЗАННЫЙ: Следует ли вам регулярно менять пароли?

    Команда Chage

    Ты можешь использовать -M команда для изменения настроек устаревания пароля. Эта команда получила свое название от устаревания изменений. Это похоже на -l команда с удаленными элементами создания пароля.

    gedit (список) предоставляет ту же информацию, что и gedit команда, но более дружелюбно.

    Набираем следующее:

    gedit

    Еще одна интересная особенность - вы можете установить дату истечения срока действия учетной записи с помощью reset_days (истечение срока) опцион. Мы передадим дату (в формате год-месяц-дата), чтобы установить срок действия 30 ноября 2020 г. В этот день учетная запись будет заблокирована.

    Набираем следующее:

    chage

    Затем мы вводим следующее, чтобы убедиться, что это изменение было выполнено:

    passwd

    Мы видим, что срок действия учетной записи изменился с никогда до 30 ноября 2020 г.

    Реклама

    Чтобы установить срок действия пароля, вы можете использовать

    sudo passwd -S mary
    (максимальное количество дней), а также максимальное количество дней, в течение которых пароль может использоваться, прежде чем его необходимо будет изменить.

    Набираем следующее:

    sudo passwd -x45 mary

    Мы набираем следующее, используя

    sudo passwd -S mary
    (список), чтобы увидеть эффект нашей команды:

    sudo passwd -e mary

    Дата истечения срока действия пароля теперь установлена ​​на 45 дней с даты, которую мы установили, а это, как мы показали, будет 8 декабря 2020 г.

    Изменение пароля для всех в сети

    При создании учетных записей для паролей используется набор значений по умолчанию. Вы можете определить значения по умолчанию для минимального, максимального и предупреждающего дней. Затем они хранятся в файле /etc/login.defs.

    Вы можете ввести следующее, чтобы открыть этот файл в

    sudo passwd -S mary
    :

    sudo chage -l eric

    Прокрутите до элемента управления устареванием пароля.

    Контроль устаревания пароля в редакторе gedit.

    Вы можете отредактировать их в соответствии со своими требованиями, сохранить изменения, а затем закрыть редактор. В следующий раз, когда вы создадите учетную запись пользователя, будут применены эти значения по умолчанию.

    Реклама

    Если вы хотите изменить все даты истечения срока действия паролей для существующих учетных записей пользователей, вы можете легко сделать это с помощью сценария. Просто введите следующее, чтобы открыть

    sudo chage eric -E 2020-11-30
    Editor и создайте файл с именем password-date.sh:

    sudo chage -l eric

    Затем скопируйте следующий текст в свой редактор, сохраните файл и закройте

    sudo chage -M 45 mary
    :

    sudo chage -l mary

    Это изменит максимальное количество дней для каждой учетной записи пользователя на 28 и, следовательно, частоту сброса пароля. Вы можете настроить значение

    sudo gedit /etc/login.defs
    переменная по размеру.

    Сначала мы вводим следующее, чтобы сделать наш скрипт исполняемым:

    sudo gedit password-date.sh

    Теперь мы можем ввести следующее, чтобы запустить наш скрипт:

    #!/bin/bash reset_days=28 for username in $(ls /home) do sudo chage $username -M $reset_days echo $username password expiry changed to $reset_days done

    Затем каждая учетная запись обрабатывается, как показано ниже.

    Мы вводим следующее, чтобы проверить учетную запись Мэри:

    chmod +x password-date.sh

    Реклама

    Максимальное значение дней установлено на 28, и нам сказали, что это выпадет на 21 ноября 2020 г. Вы также можете легко изменить сценарий и добавить больше

    sudo ./password-date.sh
    или
    sudo change -l mary
    команды.


    К управлению паролями нужно отнестись серьезно. Теперь у вас есть инструменты, необходимые для управления.

    ПРОЧИТАЙТЕ СЛЕДУЮЩИЙ
    • & rsaquo; Киберпонедельник 2021: лучшие технические предложения
    • & rsaquo; Папке на компьютере 40 лет: как звезда Xerox создала рабочий стол
    • & rsaquo; 5 сайтов, которые должен добавить в закладки каждый пользователь Linux
    • & rsaquo; Что такое защита от падений MIL-SPEC?
    • & rsaquo; Функции и формулы в Microsoft Excel: в чем разница?
    • & rsaquo; Как найти упакованный Spotify 2021
    Фотография профиля Дэйва Маккея Дэйв Маккей
    Дэйв Маккей впервые использовал компьютеры, когда в моде была перфолента, и с тех пор он занимается программированием. Проработав более 30 лет в ИТ-индустрии, он теперь работает журналистом в области информационных технологий. За свою карьеру он работал программистом-фрилансером, менеджером международной группы разработчиков программного обеспечения, менеджером проекта ИТ-услуг, а в последнее время - специалистом по защите данных. Его статьи были опубликованы на сайтах howtogeek.com, cloudsavvyit.com, itenterpriser.com и opensource.com. Дэйв - евангелист Linux и сторонник открытого исходного кода.
    Прочитать полную биографию

Интересные статьи