Okresowa zmiana hasła

  • Data: 2016

Wstęp

W dobie ostatnich doniesień o wycieku danych takich hegemonów internetu jak: Dropbox, LinkedIn czy Yahoo dobrą praktyką wydaje się wymusić na użytkownikach regularną zmianę haseł, szczególnie, że nadal wiele osoób używa jednego hasła do wielu usług.

Ustawienie wygaśnięcia hasła dla nowych użytkowników

Tworząc konto użytkownika poleceniem useradd lub bardziej przyjaznym adduser (skrypt perlowy opakowujący useradd) pobieramy pewne domyślne ustawienia z pliku /etc/login.defs tj. maksymalna ilość dni ważności hasła, ilość dni przed wygaśnięciem hasła i kiedy nastąpi ostrzeganie użytkownika o tym fakcie, czy ma być tworzony automatycznie katalog domowy zakładanego użytkownika. W tym przypadku nas interesują opcje dla ważności haseł:

  • PASS_MAX_DAYS - maksymalna ilość dni ważności hasła
  • PASS_MIN_DAYS - minimalna ilość dni ważności hasła
  • PASS_MIN_LEN - minimalna ilość znaków z którego hasło ma się składać
  • PASS_WARN_AGE - ilość dni przed wygaśnięciem hasła i kiedy nastąpi ostrzeżenie użytkownika

Ustawienie wygaśnięcia hasła dla istniejących użytkowników

Dla istniejących użytkowników manipulować "ważnością haseł" w prosty sposób możemy za pomocą polecenia chage. Za pomocą tej aplikacji administrator może wymusić minimalny, maksymalny czas między zmianą hasła czy liczbę dni poprzedzających wygaśnięcie hasła, kiedy zostanie wyświetlony odpowiedni komunikat podczas logowania.

Informacje na temat hasła:

Poniższą informację wyświetlić może sobie każdy użytkownik (nie mający uprawnień administratora).

# chage -l dominik
Last password change                                    : Sep 30, 2015
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

Maksymalna liczba dni ważności hasła

# chage -M 120 dominik

Po upływnie 120 dni po zalogowaniu użytkownik będzie poproszony o zmianę dotychczasowego hasła.

WARNING: Your password has expired.
You must change your password now and login again!
Changing password for dominik.
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:
Bad: new and old password are too similar
Enter new UNIX password:

Wymuszenie zmiany hasła podczas następnego logowania

# chage –d 0 dominik

Komunikat dotyczący zmiany hasła

Warning: your password will expire in 6 days

Domyślnie powyższy komunikat wyświetlany jest na 7 dni przed upływem ważności hasła. Możemy to zmienić za pomocą:

# chage –W 14 dominik

Przywracanie domyślnych ustawień

# chage -m 0 -M 99999 -I -1 -E -1 dominik
Powrót »