Cum să forțați utilizatorii să-și schimbe parolele pe Linux

LA

Ilya Titchev/Shutterstock



Parolele sunt cheia de boltă a securității contului. Vă vom arăta cum să resetați parolele, să setați perioadele de expirare a parolelor și să impuneți modificările parolei în rețeaua dvs. Linux.

Parola există de aproape 60 de ani

Le-am dovedit computerelor că suntem ceea ce spunem că suntem încă de la mijlocul anilor 1960, când parola a fost introdusă pentru prima dată. Necesitatea fiind mama invenției, cel Sistem compatibil de partajare a timpului dezvoltat la Institutul de tehnologie din Massachusetts avea nevoie de o modalitate de a identifica diferite persoane din sistem. De asemenea, trebuia să împiedice oamenii să-și vadă fișierele.





Fernando J. Corbató a propus o schemă care aloca un nume de utilizator unic fiecărei persoane. Pentru a dovedi că cineva este cine spunea că este, a trebuit să folosească o parolă privată, personală pentru a-și accesa contul.

Problema cu parolele este că acestea funcționează la fel ca o cheie. Oricine are o cheie o poate folosi. Dacă cineva găsește, ghicește sau își dă seama de parola dvs., persoana respectivă vă poate accesa contul. Pana cand autentificare multifactor este disponibilă universal, parola este singurul lucru care păstrează persoanele neautorizate ( actori de amenințare , în ceea ce privește securitatea cibernetică) din sistemul dvs.



Publicitate

Conexiunile de la distanță realizate de un Secure Shell (SSH) pot fi configurate pentru a utiliza chei SSH în loc de parole și asta este grozav. Cu toate acestea, aceasta este doar o metodă de conectare și nu acoperă conectările locale.

În mod clar, gestionarea parolelor este vitală, la fel ca și gestionarea persoanelor care folosesc acele parole.

LEGATE DE: Cum se creează și se instalează chei SSH din Shell Linux



Anatomia unei parole

Ce face o parolă bună, oricum? Ei bine, o parolă bună ar trebui să aibă toate următoarele atribute:

  • Este imposibil de ghicit sau de înțeles.
  • Nu l-ați folosit în altă parte.
  • Nu a fost implicat într-o atac de forță brută și de dicționar instrumentele folosite atunci când încearcă să spargă un cont.

    O parolă cu adevărat aleatorie (cum ar fi 4HW@HpJDBr%*Wt@#b~aP) este practic invulnerabilă, dar, desigur, nu ți-o vei aminti niciodată. Vă recomandăm să utilizați un manager de parole pentru conturile online. Acestea generează parole complexe, aleatorii pentru toate conturile dvs. online și nu trebuie să le amintiți - managerul de parole vă oferă parola corectă.

    Pentru conturile locale, fiecare persoană trebuie să-și genereze propria parolă. De asemenea, vor trebui să știe ce este o parolă acceptabilă și ce nu. Va trebui să li se spună să nu refolosească parolele pe alte conturi și așa mai departe.

    Publicitate

    Aceste informații se află de obicei în Politica de parole a unei organizații. Le instruiește pe oameni să folosească un număr minim de caractere, să amestece litere mari și mici, să includă simboluri și semne de punctuație și așa mai departe.

    Cu toate acestea, conform un hârtie nou-nouță r dintr-o echipă la Universitatea Carnegie Mellon , toate aceste trucuri adaugă puțin sau nimic la robustețea unei parole. Cercetătorii au descoperit că cei doi factori cheie pentru robustețea parolei sunt că au cel puțin 12 caractere și sunt suficient de puternice. Ei au măsurat puterea parolei folosind o serie de programe software de spargere, tehnici statistice și rețele neuronale.

    Un minim de 12 caractere poate suna descurajant la început. Cu toate acestea, nu gândiți în termeni de parolă, ci mai degrabă de o expresie de acces de trei sau patru cuvinte care nu au legătură, separate prin semne de punctuație.

    De exemplu, cel Verificator de parole expert a spus că va dura 42 de minute pentru a sparge Chicago99, dar 400 de miliarde de ani pentru a sparge chimney.purple.bag. De asemenea, este ușor de reținut și de tastat și conține doar 18 caractere.

    LEGATE DE: De ce ar trebui să utilizați un manager de parole și cum să începeți

    Revizuirea setărilor curente

    Înainte de a schimba ceva legat de parola unei persoane, este prudent să aruncați o privire asupra setărilor actuale ale acesteia. Cu |_+_| comandă, poți revizuiți setările lor curente cu |_+_| (starea) opțiunea. Rețineți că va trebui să utilizați și |_+_| cu |_+_| dacă lucrați cu setările de parolă ale altcuiva.

    Introducem următoarele:

    passwd

    O singură linie de informații este tipărită în fereastra terminalului, așa cum se arată mai jos.

    Vedeți următoarele informații (de la stânga la dreapta) în acel răspuns scurt:

      Numele de conectare al persoanei. Unul dintre următorii trei indicatori posibili apare aici:
        P:Indică faptul că contul are o parolă validă și funcțională. L:Înseamnă că contul a fost blocat de proprietarul contului root. DE EXEMPLU:Nu a fost setată o parolă.
      Data ultimei modificări a parolei. Vârsta minimă a parolei:Perioada minimă de timp (în zile) care trebuie să treacă între resetările parolei efectuate de proprietarul contului. Cu toate acestea, proprietarul contului root poate schimba oricând parola oricui. Dacă această valoare este 0 (zero), nu există o restricție privind frecvența modificărilor parolei. Vârsta maximă a parolei:Proprietarului contului i se solicită să-și schimbe parola când acesta împlinește această vârstă. Această valoare este dată în zile, deci o valoare de 99.999 înseamnă că parola nu expiră niciodată. Perioada de avertizare privind modificarea parolei:Dacă se aplică o vârstă maximă a parolei, proprietarul contului va primi mementouri pentru a-și schimba parola. Primul dintre acestea va fi trimis cu numărul de zile afișat aici înainte de data de resetare. Perioada de inactivitate pentru parola:Dacă cineva nu accesează sistemul pentru o perioadă de timp care se suprapune cu termenul limită de resetare a parolei, parola acestei persoane nu va fi schimbată. Această valoare indică câte zile urmează perioada de grație după data de expirare a parolei. Dacă contul rămâne inactiv în acest număr de zile după expirarea unei parole, contul este blocat. O valoare de -1 dezactivează perioada de grație.

    Setarea unei vechime maxime a parolei

    Pentru a seta o perioadă de resetare a parolei, puteți utiliza |_+_| (maximum de zile) opțiune cu un număr de zile. Nu lăsați un spațiu între |_+_| și cifrele, așa că l-ați tasta după cum urmează:

    -S

    Publicitate

    Ni se spune că valoarea de expirare a fost modificată, așa cum se arată mai jos.

    Folosiți |_+_| (stare) opțiune pentru a verifica dacă valoarea este acum 45:

    sudo

    Acum, în 45 de zile, trebuie setată o nouă parolă pentru acest cont. Mementourile vor începe cu șapte zile înainte de aceasta. Dacă o nouă parolă nu este setată la timp, acest cont va fi blocat imediat.

    Aplicarea unei modificări imediate a parolei

    De asemenea, puteți utiliza o comandă, astfel încât ceilalți din rețeaua dvs. să fie nevoiți să-și schimbe parolele data viitoare când se conectează. Pentru a face acest lucru, ați folosi |_+_| opțiunea (expira), după cum urmează:

    passwd

    Apoi ni se spune că informațiile de expirare a parolei s-au schimbat.

    Să verificăm cu |_+_| opțiune și vezi ce s-a întâmplat:

    -x

    Publicitate

    Data ultimei modificări a parolei este setată la prima zi a anului 1970. Data viitoare când această persoană încearcă să se autentifice, va trebui să-și schimbe parola. De asemenea, trebuie să furnizeze parola curentă înainte de a putea introduce una nouă.

    Ecranul Resetare parolă.

    Ar trebui să impuneți modificările parolei?

    Forțarea oamenilor să-și schimbe parolele în mod regulat era de bun simț. A fost unul dintre pașii de securitate de rutină pentru majoritatea instalațiilor și considerat o bună practică de afaceri.

    Gândirea de acum este polar opus. În Marea Britanie, Centrul Național de Securitate Cibernetică sfătuiește cu tărie împotriva impunerii reînnoirilor regulate de parole , si Institutul Național de Standarde și Tehnologie în SUA este de acord. Ambele organizații recomandă aplicarea unei modificări a parolei numai dacă știți sau bănuiți că există una existentă cunoscut de alții .

    Forțarea oamenilor să-și schimbe parolele devine monoton și încurajează parolele slabe. Oamenii încep de obicei să refolosească o parolă de bază cu o dată sau alt număr etichetat pe ea. Sau le vor nota pentru că trebuie să le schimbe atât de des, încât nu își pot aminti.

    Cele două organizații pe care le-am menționat mai sus recomandă următoarele reguli pentru securitatea parolei:

      Utilizați un manager de parole:Atât pentru conturi online, cât și pentru conturile locale. Activați autentificarea cu doi factori:Oriunde aceasta este o opțiune, folosește-o. Utilizați o expresie de acces puternică:O alternativă excelentă pentru acele conturi care nu vor funcționa cu un manager de parole. Trei sau mai multe cuvinte separate prin semne de punctuație sau simboluri este un șablon bun de urmat. Nu reutilizați niciodată o parolă:Evitați să utilizați aceeași parolă pe care o utilizați pentru alt cont și, cu siguranță, nu folosiți una din lista Am fost Pwned .
    Publicitate

    Sfaturile de mai sus vă vor permite să stabiliți un mijloc sigur de a vă accesa conturile. Odată ce ai stabilit aceste linii directoare, rămâi cu ele. De ce Schimbați-vă parola dacă este puternic și sigur? Dacă cade în mâinile greșite – sau bănuiți că a făcut-o – o puteți schimba atunci.

    Uneori, această decizie scapă însă din mâinile tale. Dacă se schimbă puterea de aplicare a parolei, nu aveți prea multe de ales. Puteți să vă pledați cazul și să vă faceți cunoscută poziția, dar dacă nu sunteți șeful, va trebui să urmați politica companiei.

    LEGATE DE: Ar trebui să vă schimbați parolele în mod regulat?

    Comanda de schimbare

    Poți să folosești |_+_| comanda pentru a modifica setările privind vechimea parolei. Această comandă își are numele de la schimbarea în vârstă. Este ca |_+_| comandă cu elementele de creare a parolei eliminate.

    |_+_| (listă) opțiunea prezintă aceleași informații ca și |_+_| comandă, dar într-un mod mai prietenos.

    Introducem următoarele:

    -x

    O altă atingere bună este că puteți seta o dată de expirare a contului folosind |_+_| (de expirare) opțiune. Vom transmite o dată (în formatul an-lună-dat) pentru a seta o dată de expirare de 30 noiembrie 2020. La acea dată, contul va fi blocat.

    Introducem următoarele:

    -S

    Apoi, introducem următoarele pentru a ne asigura că această modificare a fost făcută:

    -e

    Vedem că data de expirare a contului s-a schimbat de la niciodată la 30 noiembrie 2020.

    Publicitate

    Pentru a seta o perioadă de expirare a parolei, puteți utiliza |_+_| (maximum de zile), împreună cu numărul maxim de zile pe care o parolă poate fi folosită înainte ca aceasta să fie schimbată.

    Introducem următoarele:

    -S

    Introducem următoarele, folosind |_+_| (listă), pentru a vedea efectul comenzii noastre:

    chage

    Data de expirare a parolei este acum setată la 45 de zile de la data la care am stabilit-o, care, după cum am arătat, va fi 8 decembrie 2020.

    Efectuarea modificărilor parolei pentru toată lumea dintr-o rețea

    Când sunt create conturile, se utilizează un set de valori implicite pentru parole. Puteți defini care sunt valorile implicite pentru zilele minime, maxime și de avertizare. Acestea sunt apoi păstrate într-un fișier numit /etc/login.defs.

    Puteți introduce următoarele pentru a deschide acest fișier în |_+_|:

    passwd

    Derulați la comenzile privind vechimea parolei.

    Controlul vechimii parolei în editorul gedit.

    Puteți să le editați în funcție de cerințele dvs., să salvați modificările și apoi să închideți editorul. Data viitoare când creați un cont de utilizator, aceste valori implicite vor fi aplicate.

    Publicitate

    Dacă doriți să schimbați toate datele de expirare a parolelor pentru conturile de utilizator existente, puteți face acest lucru cu ușurință cu un script. Doar tastați următoarele pentru a deschide |_+_| editor și creați un fișier numit password-date.sh:

    -l

    Apoi, copiați următorul text în editor, salvați fișierul și apoi închideți |_+_|:

    passwd -S

    Acest lucru va schimba numărul maxim de zile pentru fiecare cont de utilizator la 28 și, prin urmare, frecvența de resetare a parolei. Puteți ajusta valoarea |_+_| variabilă potrivită.

    Mai întâi, introducem următoarele pentru a face scriptul nostru executabil:

    -E

    Acum, putem tasta următoarele pentru a rula scriptul nostru:

    -M

    Fiecare cont este apoi procesat, după cum se arată mai jos.

    Introducem următoarele pentru a verifica contul pentru Mary:

    -l

    Publicitate

    Valoarea maximă a zilelor a fost setată la 28 și ni s-a spus că va cădea pe 21 noiembrie 2020. De asemenea, puteți modifica cu ușurință scriptul și puteți adăuga mai multe |_+_| sau |_+_| comenzi.


    Gestionarea parolelor este ceva care trebuie luat în serios. Acum, aveți instrumentele de care aveți nevoie pentru a prelua controlul.

    CITEȘTE URMĂTORUL
    • & rsaquo; Cyber ​​Monday 2021: Cele mai bune oferte tehnice
    • › Folderul computerului este 40: Cum a creat Xerox Star desktop-ul
    • › 5 site-uri web pe care fiecare utilizator Linux ar trebui să le marcheze
    • › Ce este protecția împotriva căderii MIL-SPEC?
    • › Funcții vs. Formule în Microsoft Excel: Care este diferența?
    • › Cum să-ți găsești Spotify Wrapped 2021
    Fotografie de profil pentru Dave McKay Dave McKay
    Dave McKay a folosit pentru prima dată computerele când banda de hârtie perforată era în vogă și de atunci programează. După peste 30 de ani în industria IT, acum este jurnalist de tehnologie cu normă întreagă. De-a lungul carierei sale, a lucrat ca programator independent, manager al unei echipe internaționale de dezvoltare de software, manager de proiect pentru servicii IT și, cel mai recent, responsabil cu protecția datelor. Scrisul său a fost publicat de howtogeek.com, cloudsavvyit.com, itenterpriser.com și opensource.com. Dave este un evanghelist Linux și un avocat open source.
    Citiți biografia completă

Articole Interesante