Svolení fotografie:mattblaze
Osvědčený postup doporučuje, aby uživatelé pravidelně měnili hesla. Vývojáři a další uživatelé systému Linux však obvykle heslo nezmění, pokud nebudou nuceni změnit své heslo.
Je odpovědností správců systému najít způsob, jak donutit vývojáře ke změně hesla. Nutit uživatele ke změně hesla se zbraní na hlavě není řešení!. I když většina správců, kteří si uvědomují bezpečnost, může být dokonce v pokušení to udělat.
V tomto článku se podíváme na to, jak můžete v Linuxu používat příkaz chage k provedení několika praktických činností stárnutí hesel, včetně toho, jak donutit uživatele změnit heslo.
V debianu můžete nainstalovat chage provedením následujícího příkazu:
# apt-get install chage
Poznámka: V tomto příkazu je velmi snadné udělat překlep. Místo změny můžete skončit tak, že ji napíšete jako změnu. Pamatujte, že změna znamená „změnit věk“. tj. zkratka příkazu chage je podobná jako chmod, chown atd.,
1. Uveďte heslo a související podrobnosti pro uživatele
Jak je uvedeno níže, příkaz chage může spustit každý uživatel aby sám identifikoval, kdy jeho heslo brzy vyprší.
Syntax: chage –-list username (or) chage -l username $ chage --list dhinesh Last password change : Apr 01, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
Pokud se uživatel dhinesh pokusí provést stejný příkaz pro uživatele ramesh, dostane následující zprávu o zamítnutí oprávnění.
$ chage --list ramesh chage: permission denied
Poznámka: Uživatel root však může provést příkaz chage pro jakýkoli uživatelský účet.
Když si uživatel dhinesh 23. dubna 2009 změní heslo, aktualizuje hodnotu „Poslední změna hesla“, jak je uvedeno níže.
Prostudujte si náš dřívější článek:Nejlepší postupy a dokonalý průvodce vytvořením super silného hesla, který vám pomůže dodržovat osvědčené postupy při změně hesla pro váš účet.
$ date Thu Apr 23 00:15:20 PDT 2009 $ passwd dhinesh Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully $ chage --list dhinesh Last password change : Apr 23, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
2. Nastavte datum vypršení platnosti hesla pro uživatele pomocí možnosti změny -M
Uživatel root (správci systému) může nastavit datum vypršení platnosti hesla pro libovolného uživatele. V následujícím příkladu je heslo uživatele dhinesh nastaveno tak, aby vypršelo 10 dní od poslední změny hesla.
Upozorňujeme, že možnost -M aktualizuje položky „Platnost hesla vyprší“ a „Maximální počet dní mezi změnou hesla“, jak je uvedeno níže.
Syntax: # chage -M number-of-days username # chage -M 10 dhinesh # chage --list dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
3. Upozornění na vypršení hesla během přihlášení
Ve výchozím nastavení je počet dní upozornění před vypršením platnosti hesla nastaven na 7. Takže ve výše uvedeném příkladu, když se uživatel dhinesh pokusí přihlásit 30. dubna 2009 — dostane následující zprávu.
$ ssh dhinesh@testingserver dhinesh@testingserver's password: Warning: your password will expire in 3 days
4. Uživatel byl nucen změnit heslo po datu vypršení platnosti
Pokud nastane datum vypršení platnosti hesla a uživatel své heslo nezmění, systém jej přinutí změnit heslo před přihlášením, jak je uvedeno níže.
$ ssh dhinesh@testingserver dhinesh@testingserver's password: You are required to change your password immediately (password aged) WARNING: Your password has expired. You must change your password now and login again! Changing password for dhinesh (current) UNIX password: Enter new UNIX password: Retype new UNIX password:
5. Nastavte datum vypršení platnosti účtu pro uživatele
Můžete také použít příkaz chage k nastavení data vypršení platnosti účtu, jak je uvedeno níže, pomocí volby -E. Níže uvedené datum je ve formátu „RRRR-MM-DD“. Tím se aktualizuje hodnota „Platnost účtu vyprší“, jak je uvedeno níže.
# chage -E "2009-05-31" dhinesh # chage -l dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : never Account expires : May 31, 2009 Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
6. Vynutit uzamčení uživatelského účtu po X počtu dní nečinnosti
Obvykle, pokud vypršela platnost hesla, jsou uživatelé nuceni jej změnit při příštím přihlášení. Můžete také nastavit další podmínku, kdy po vypršení platnosti hesla, pokud se uživatel nikdy nepokusil přihlásit po dobu 10 dnů, můžete automaticky uzamknout jeho účet pomocí volby -I, jak je uvedeno níže. V tomto příkladu je datum „Heslo neaktivní“ nastaveno na 10 dní od hodnoty „Platnost hesla vyprší“.
Jakmile je účet uzamčen, budou jej moci odemknout pouze správci systému.
# chage -I 10 dhinesh # chage -l dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : May 13, 2009 Account expires : May 31, 2009 Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
7. Jak zakázat stárnutí hesla pro uživatelský účet
Chcete-li vypnout vypršení platnosti hesla pro uživatelský účet, nastavte následující:
- -m 0 nastaví minimální počet dní mezi změnou hesla na 0
- -M 99999 nastaví maximální počet dní mezi změnou hesla na 99999
- -I -1 (číslo mínus jedna) nastaví „Heslo neaktivní“ na nikdy
- -E -1 (číslo mínus jedna) nastaví „Účet vyprší“ na nikdy.
# chage -m 0 -M 99999 -I -1 -E -1 dhinesh # chage --list dhinesh Last password change : Apr 23, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
Tento článek napsal Dhineshkumar Manikannan. Pracuje ve společnosti bk Systems (p) Ltd a má zájem přispívat do open source. The Geek Stuff uvítá vaše tipy a články pro hosty