Вверх

Как заставить пользователей изменить свои пароли в Linux

5 февраля 2021 |

Как заставить пользователей изменить свои пароли в Linux

A failed password message from sshd. Илья Титчев / Shutterstock

Пароли — залог безопасности учетной записи. Мы покажем вам, как сбросить пароли, установить периоды истечения срока действия пароля и принудительно изменить пароль в вашей сети Linux.

Пароль существует уже почти 60 лет

Мы доказали компьютерам, что мы мы говорим, что мы с середины 1960-х годов, когда впервые был введен пароль. Необходимость, будучи матерью изобретения, совместима с системой разделения времени, разработанной в Массачусетском технологическом институте, нуждалась в способе идентифицировать разных людей в системе. Это также должно было препятствовать тому, чтобы люди видели файлы друг друга.

Фернандо Дж. Корбато предложил схему, по которой каждому человеку присваивается уникальное имя пользователя. Чтобы доказать, что кто-то был тем, кем они себя называли, они должны были использовать личный пароль для доступа к своей учетной записи.

Проблема с паролями в том, что они действуют как ключ. Его может использовать любой, у кого есть ключ. Если кто-то найдет, угадает или узнает ваш пароль, этот человек сможет получить доступ к вашей учетной записи. До тех пор, пока многофакторная аутентификация не станет универсальной, пароль — единственное, что удерживает неавторизованных людей (злоумышленников, говоря языком кибербезопасности) от вашей системы.

Удаленные подключения, осуществляемые с помощью Secure Shell (SSH), можно настроить для использования ключей SSH вместо паролей, и это здорово. Однако это только один метод подключения, и он не распространяется на локальный вход.

Очевидно, что управление паролями имеет жизненно важное значение, как и управление людьми, использующими эти пароли.

Анатомия пароля

Что вообще делает пароль хорошим?Что ж, хороший пароль должен иметь все следующие атрибуты:

  • Невозможно угадать или разгадать.
  • Вы нигде еще не использовали его.
  • Он не был причастен к утечке данных.

Веб-сайт Have I Been Pwned (HIBP) содержит более 10 миллиардов наборов взломанных учетных данных. С такими высокими цифрами есть вероятность, что кто-то другой использовал тот же пароль, что и вы. Это означает, что ваш пароль может быть в базе данных, даже если взломана не ваша учетная запись.

Если ваш пароль находится на веб-сайте HIBP, это означает, что он находится в списках взломанных паролей злоумышленников. инструменты силовой и словарной атаки используют, когда пытаются взломать учетную запись.

Действительно случайный пароль (например, 4HW @ HpJDBr% * Wt @ # b ~ aP) практически неуязвим, но, конечно, вы никогда бы не вспомнил. Мы настоятельно рекомендуем вам использовать менеджер паролей для онлайн-аккаунтов. Они генерируют сложные случайные пароли для всех ваших онлайн-учетных записей, и вам не нужно их запоминать — менеджер паролей предоставит вам правильный пароль.

Для локальных учетных записей каждый человек должен сгенерировать свой собственный пароль. Им также нужно будет знать, какой пароль приемлемый, а какой нет. Им нужно будет сказать, чтобы они не использовали пароли для других учетных записей и т. Д.

Эта информация обычно содержится в политике паролей организации. Он инструктирует людей использовать минимальное количество символов, смешивать прописные и строчные буквы, включать символы и знаки препинания и т. Д.

Однако, согласно новому докладу команды из Университета Карнеги-Меллона, все эти уловки практически ничего не добавляют к надежности пароля. Исследователи обнаружили, что двумя ключевыми факторами надежности паролей являются то, что они должны содержать не менее 12 символов и достаточно надежны. Они измерили надежность пароля с помощью ряда программ-взломщиков, статистических методов и нейронных сетей.

Минимум 12 символов на первый взгляд может показаться устрашающим. Однако не думайте о пароле, а скорее о парольной фразе из трех или четырех не связанных друг с другом слов, разделенных знаками препинания.

Например, программа Experte Password Checker сообщила, что на взлом «chicago99» потребуется 42 минуты. , »Но 400 миллиардов лет, чтобы взломать« дымоход.«Его также легко запомнить и ввести, и он состоит всего из 18 символов.

Просмотр текущих настроек

Прежде чем менять что-либо, связанное с паролем человека, благоразумно взглянуть на его текущие настройки. С помощью команды passwd вы можете просмотреть их текущие настройки с помощью опции -S (статус). Обратите внимание, что вам также придется использовать sudo с passwd, если вы работаете с чужими настройками пароля.

Мы вводим следующее:

sudo passwd -S mary

Одна строка информации выводится в окно терминала, как показано ниже.

В этом кратком ответе вы видите следующие фрагменты информации (слева направо):

  • Имя пользователя для входа.
  • Здесь отображается один из трех возможных индикаторов:
    • P: указывает, что у учетной записи есть действующий рабочий пароль.
    • L: означает, что учетная запись была заблокирована владельцем учетной записи root.
    • NP: пароль не был установлен.
  • Дата последнего изменения пароля.
  • Минимальный срок действия пароля: минимальный период времени (в днях), который должен пройти между сбросами пароля, выполненными владельцем учетной записи. Однако владелец учетной записи root всегда может изменить любой пароль. Если это значение равно 0 (нулю), ограничения на частоту смены пароля отсутствуют.
  • Максимальный срок действия пароля. Владельцу учетной записи предлагается сменить пароль по достижении этого возраста. Это значение указывается в днях, поэтому значение 99 999 означает, что срок действия пароля никогда не истекает.
  • Период предупреждения о смене пароля: если установлен максимальный срок действия пароля, владелец учетной записи будет получать напоминания об изменении своего пароля. Первому из них будет отправлено количество дней, указанное здесь до даты сброса.
  • Период бездействия пароля. Если кто-то не имеет доступа к системе в течение периода времени, превышающего крайний срок для сброса пароля, пароль этого человека не будет изменен. Это значение указывает, сколько дней отсрочка платежа следует за датой истечения срока действия пароля. Если учетная запись остается неактивной в течение этого количества дней после истечения срока действия пароля, учетная запись блокируется. Значение -1 отключает льготный период.

Установка максимального срока действия пароля

Чтобы установить период сброса пароля, вы можете использовать параметр -x (максимальное количество дней) с количеством дней. Вы не оставляете пробел между -x и цифрами, поэтому введите его следующим образом:

sudo passwd -x45 mary

Нам сказали значение истечения срока было изменено, как показано ниже.

Используйте параметр -S (status), чтобы проверить, что теперь значение равно 45:

sudo passwd -S mary

Теперь, через 45 дней, для этой учетной записи должен быть установлен новый пароль. Напоминания начнутся за семь дней до этого. Если новый пароль не будет установлен вовремя, этот аккаунт будет немедленно заблокирован.

Принудительное немедленное изменение пароля

Вы также можете использовать команду, чтобы другим пользователям в вашей сети пришлось менять свои пароли при следующем входе в систему. Для этого вы должны использовать параметр -e (срок действия), следующим образом:

sudo passwd -e mary

Затем нам сообщают, что информация об истечении срока действия пароля изменилась.

Давайте проверим с параметром -S и посмотрим, что произошло:

sudo passwd -S mary

Дата последней смены пароля установлена ​​на первый день 1970 года. В следующий раз, когда этот человек попытается войти в систему, ему или ей придется изменить свой пароль. Они также должны предоставить свой текущий пароль, прежде чем они смогут ввести новый.

The Password Reset screen.

Следует ли принудительно менять пароль?

Принуждение людей к регулярной смене паролей раньше было здравым смыслом. Это был один из стандартных шагов по обеспечению безопасности для большинства установок и считался хорошей деловой практикой.

Сейчас мы думаем прямо противоположно. В Великобритании Национальный центр кибербезопасности настоятельно не рекомендует принудительно обновлять пароли, и Национальный институт стандартов и технологий США соглашается. Обе организации рекомендуют принудительно менять пароль только в том случае, если вы знаете или подозреваете, что существующий пароль известен другим.

Принуждение людей к смене паролей становится однообразным и поощряет использование слабых паролей. Обычно люди начинают повторно использовать базовый пароль с пометкой даты или другого числа. Или они запишут их, потому что им так часто приходится их менять, что они не могут их запомнить.

Две упомянутые выше организации рекомендуют следующие рекомендации по безопасности паролей:

  • Используйте диспетчер паролей: как для сетевых, так и для локальных учетных записей.
  • Включите двухфакторная аутентификация: используйте ее везде, где это возможно.
  • Используйте надежную парольную фразу: отличная альтернатива для тех учетных записей, которые не работают с менеджером паролей. Три или более слов, разделенных знаками препинания или символами, — хороший образец для подражания.
  • Никогда не используйте пароль повторно: избегайте использования того же пароля, который вы используете для другой учетной записи, и ни в коем случае не используйте пароль, указанный в разделе «Был ли я взят в игру».

Советы выше позволит вам установить безопасные средства для доступа к вашим счетам. Как только у вас появятся эти рекомендации, придерживайтесь их. Зачем менять пароль, если он надежный и надежный? Если он попал в чужие руки — или вы подозреваете, что попал — вы можете его поменять.

Однако иногда это решение не в ваших руках. Если полномочия принудительно изменят пароль, у вас не будет особого выбора. Вы можете заявить о своей позиции и заявить о своей позиции, но если вы не начальник, вам придется следовать политике компании.

Команда chage

Вы можете использовать команду chage, чтобы изменить настройки, касающиеся устаревания пароля. Эта команда получила свое название от «изменить старение». Это похоже на команду passwd с удаленными элементами создания пароля.

Параметр -l (список) представляет ту же информацию, что и команда passwd -S, но в более удобной форме.

Мы вводим следующее:

sudo chage -l eric

Еще одна интересная особенность: вы можете установить дату истечения срока действия учетной записи с помощью параметра -E (истечение срока). Мы передадим дату (в формате год-месяц-дата), чтобы установить срок действия 30 ноября 2020 г. В этот день учетная запись будет заблокирована.

Мы вводим следующее:

sudo chage eric -E 2020-11-30

Затем мы вводим следующее, чтобы убедиться, что это изменение выполнено:

sudo chage -l eric

Мы видим, что срок действия учетной записи изменился с «никогда» на 30 ноября 2020 г.

Чтобы установить срок действия пароля, вы можете использовать параметр -M (максимальное количество дней), а также максимальное количество дней, в течение которых пароль может использоваться до его изменения.

Мы вводим следующее:

sudo chage -M 45 mary

Мы вводим следующее, используя параметр -l (список), чтобы посмотрите на результат нашей команды:

sudo chage -l mary

Дата истечения срока действия пароля теперь установлена ​​на 45 дней с даты, которую мы установили, что, как нам показано, это будет 8 декабря 2020 г.

Изменение пароля для всех в сети

При создании учетных записей для паролей используется набор значений по умолчанию. Вы можете определить значения по умолчанию для минимального, максимального и предупреждающего дней. Затем они хранятся в файле с именем «/etc/login.defs».

Чтобы открыть этот файл в gedit, вы можете ввести следующее:

sudo gedit /etc/login.defs

Прокрутите до элементов управления устареванием пароля.

The password aging controls in the gedit editor.

Вы можете отредактировать их в соответствии со своими требованиями, сохранить изменения и затем закройте редактор. В следующий раз, когда вы создадите учетную запись пользователя, эти значения по умолчанию будут применены.

Если вы хотите изменить все даты истечения срока действия пароля для существующих учетных записей пользователей, вы можете легко сделать это с помощью сценария. Просто введите следующее, чтобы открыть редактор gedit и создать файл с именем «password-date.sh»:

sudo gedit password-date.sh

Затем скопируйте следующий текст в редактор, сохраните файл и закройте gedit:

#!/ bin / bash reset_days = 28 для имени пользователя в $ (ls / home) do sudo chage $ username -M $ reset_days echo $ username срок действия пароля изменен на $ reset_days done

Это изменит максимальное количество дней для каждой учетной записи пользователя до 28, а значит, и частота сброса пароля. Вы можете настроить значение переменной reset_days по своему усмотрению.

Сначала мы вводим следующее, чтобы сделать наш скрипт исполняемым:

chmod + x password-date.sh

Теперь мы можем ввести следующее для запуска нашего скрипта:

sudo ./password-date.sh

Затем каждая учетная запись обрабатывается, как показано ниже.

Чтобы проверить учетную запись на наличие «mary», мы вводим следующее:

sudo change -l mary

Максимальное значение дней установлено на 28, и нам сказали, что это выпадет на 21 ноября 2020 г. Вы также можете легко изменить script и добавьте больше команд chage или passwd.

К управлению паролями нужно отнестись серьезно. Теперь у вас есть инструменты, необходимые для управления.

Как заставить пользователей изменить свои пароли в Linux

Tags:

Напишите пару строк: