Как да принудим потребителите да променят паролите си в Linux

ДА СЕ

Иля Тичев/Shutterstock



Паролите са ключовият камък за сигурността на акаунта. Ще ви покажем как да нулирате пароли, да задавате периоди на валидност на паролата и да налагате промени в паролата във вашата Linux мрежа.

Паролата съществува от близо 60 години

Ние доказваме на компютрите, че сме тези, за които се представяме от средата на 60-те години, когато паролата беше въведена за първи път. Необходимостта е майка на изобретението Съвместима система за споделяне на времето разработена в Масачузетски институт по технологии се нуждаеше от начин за идентифициране на различни хора в системата. Освен това трябваше да попречи на хората да виждат файловете на другия.





Фернандо Дж. Корбато предложи схема, която разпределя уникално потребителско име на всеки човек. За да докажат, че някой е този, за когото се представят, те трябваше да използват лична парола за достъп до акаунта си.

Проблемът с паролите е, че те работят точно като ключ. Всеки, който има ключ, може да го използва. Ако някой намери, познае или разбере паролата ви, този човек може да получи достъп до вашия акаунт. До многофакторна автентификация е универсално достъпна, паролата е единственото нещо, което пази неупълномощени хора ( заплахите , в киберсигурност-говори) извън вашата система.



Реклама

Отдалечените връзки, направени от Secure Shell (SSH), могат да бъдат конфигурирани да използват SSH ключове вместо пароли и това е страхотно. Това обаче е само един метод за свързване и не обхваща локални влизания.

Ясно е, че управлението на паролите е жизненоважно, както и управлението на хората, които използват тези пароли.

СВЪРЗАНИ: Как да създадете и инсталирате SSH ключове от Linux Shell



Анатомията на паролата

Какво прави паролата добра? Е, добрата парола трябва да има всички следните атрибути:

  • Невъзможно е да се отгатне или да се разбере.
  • Не сте го използвали никъде другаде.
  • То не е участвало в а груба сила и речникова атака инструменти, които използват, когато се опитват да разбият акаунт.

    Една наистина произволна парола (като 4HW@HpJDBr%*Wt@#b~aP) е практически неуязвима, но, разбира се, никога няма да я запомните. Силно препоръчваме да използвате мениджър на пароли за онлайн акаунти. Те генерират сложни, произволни пароли за всичките ви онлайн акаунти и не е нужно да ги помните – мениджърът на пароли предоставя правилната парола за вас.

    За локални акаунти всеки човек трябва да генерира своя собствена парола. Те също така ще трябва да знаят коя парола е приемлива и коя не. Ще трябва да им се каже да не използват повторно пароли в други акаунти и т.н.

    Реклама

    Тази информация обикновено е в правилата за пароли на организацията. Той инструктира хората да използват минимален брой знаци, да смесват главни и малки букви, да включват символи и пунктуация и т.н.

    Въпреки това, според чисто нова папка r от екип на Университет Карнеги Мелън , всички тези трикове добавят малко или нищо към надеждността на паролата. Изследователите установиха, че двата ключови фактора за стабилност на паролата са, че те са дълги поне 12 знака и са достатъчно силни. Те измерват силата на паролата с помощта на редица програми за разбиване на софтуер, статистически техники и невронни мрежи.

    Минимум от 12 знака може да звучи обезсърчително в началото. Въпреки това, не мислете като парола, а по-скоро парола от три или четири несвързани думи, разделени с препинателни знаци.

    Например, на Експертна проверка на пароли каза, че ще отнеме 42 минути, за да се разбие chicago99, но 400 милиарда години, за да се разбие chimney.purple.bag. Освен това е лесен за запомняне и въвеждане и съдържа само 18 знака.

    СВЪРЗАНИ: Защо трябва да използвате мениджър на пароли и как да започнете

    Преглед на текущите настройки

    Преди да промените нещо, свързано с паролата на даден човек, е разумно да погледнете текущите му настройки. С |_+_| команда, можете прегледайте текущите им настройки с неговите |_+_| опция (статус). Имайте предвид, че ще трябва да използвате и |_+_| с |_+_| ако работите с настройки за парола на някой друг.

    Пишем следното:

    passwd

    Един ред с информация се отпечатва в прозореца на терминала, както е показано по-долу.

    Виждате следните части от информация (отляво надясно) в този кратък отговор:

      Името за вход на лицето. Тук се появява един от следните три възможни индикатора:
        П:Показва, че акаунтът има валидна, работеща парола. L:Означава, че акаунтът е бил заключен от собственика на основния акаунт. напр.:Парола не е зададена.
      Датата на последната промяна на паролата. Минимална възраст на паролата:Минималният период от време (в дни), който трябва да измине между нулирането на паролата, извършено от собственика на акаунта. Собственикът на root акаунта обаче винаги може да промени паролата на всеки. Ако тази стойност е 0 (нула), няма ограничение за честотата на смяна на паролата. Максимална възраст на паролата:Собственикът на акаунта е подканен да промени паролата си, когато достигне тази възраст. Тази стойност се дава в дни, така че стойност от 99 999 означава, че паролата никога не изтича. Период на предупреждение за промяна на паролата:Ако се приложи максимална възраст на паролата, собственикът на акаунта ще получи напомняния да промени паролата си. Първият от тях ще бъде изпратен броят дни, показани тук преди датата за нулиране. Период на неактивност за паролата:Ако някой няма достъп до системата за период от време, който припокрива крайния срок за нулиране на паролата, паролата на този човек няма да бъде променена. Тази стойност показва колко дни е гратисният период след датата на изтичане на паролата. Ако акаунтът остане неактивен този брой дни след изтичане на паролата, акаунтът е заключен. Стойност от -1 деактивира гратисния период.

    Задаване на максимална възраст на паролата

    За да зададете период за нулиране на паролата, можете да използвате |_+_| (максимум дни) опция с брой дни. Не оставяте интервал между |_+_| и цифрите, така че да го напишете, както следва:

    -S

    Реклама

    Казаха ни, че стойността на изтичане е променена, както е показано по-долу.

    Използвайте |_+_| (status) опция, за да проверите дали стойността вече е 45:

    sudo

    Сега, след 45 дни, трябва да се зададе нова парола за този акаунт. Напомнянията ще започнат седем дни преди това. Ако нова парола не бъде зададена навреме, този акаунт ще бъде заключен незабавно.

    Налагане на незабавна промяна на паролата

    Можете също да използвате команда, така че другите във вашата мрежа да трябва да променят паролите си следващия път, когато влязат. За да направите това, ще използвате |_+_| опция (изтича), както следва:

    passwd

    След това ни казват, че информацията за изтичане на паролата е променена.

    Нека проверим с |_+_| опция и вижте какво се е случило:

    -x

    Реклама

    Датата на последната промяна на паролата е настроена на първия ден от 1970 г. Следващия път, когато този човек се опита да влезе, той или тя ще трябва да промени паролата си. Те също така трябва да предоставят текущата си парола, преди да могат да напишат нова.

    Екранът за нулиране на паролата.

    Трябва ли да наложите промени в паролата?

    Принуждаването на хората да променят редовно паролите си беше здрав разум. Това беше една от рутинните стъпки за сигурност за повечето инсталации и се счита за добра бизнес практика.

    Мисленето сега е полярно противоположно. В Обединеното кралство, Национален център за киберсигурност силно съветва срещу налагането на редовно подновяване на пароли , и на Национален институт по стандарти и технологии в САЩ се съгласява. И двете организации препоръчват налагане на промяна на паролата само ако знаете или подозирате, че съществува такава познато от други .

    Принуждаването на хората да променят паролите си става монотонно и насърчава слабите пароли. Хората обикновено започват да използват повторно основна парола с дата или друг номер, маркиран върху нея. Или ще ги запишат, защото трябва да ги сменят толкова често, че не могат да ги запомнят.

    Двете организации, които споменахме по-горе, препоръчват следните насоки за сигурност с парола:

      Използвайте мениджър на пароли:Както за онлайн, така и за локални акаунти. Включете двуфакторното удостоверяване:Където и да е тази опция, използвайте я. Използвайте силна парола:Отлична алтернатива за тези акаунти, които няма да работят с мениджър на пароли. Три или повече думи, разделени с пунктуация или символи, са добър шаблон за следване. Никога не използвайте повторно парола:Избягвайте да използвате същата парола, която използвате за друг акаунт, и определено не използвайте посочената в Дали са ме стреляли .
    Реклама

    Съветите по-горе ще ви позволят да установите защитено средство за достъп до вашите акаунти. След като имате тези насоки, придържайте се към тях. Защо сменете паролата си ако е здрав и сигурен? Ако попадне в грешни ръце – или подозирате, че е – тогава можете да го промените.

    Понякога обаче това решение е извън вашите ръце. Ако правомощията за налагане на паролата се променят, нямате много избор. Можете да пледираш по делото си и да оповестиш позицията си, но освен ако не си шеф, ще трябва да спазваш политиката на компанията.

    СВЪРЗАНИ: Трябва ли редовно да променяте паролите си?

    Командата chage

    Можеш да използваш |_+_| команда за да промените настройките относно стареенето на паролата. Тази команда получава името си от промяната на стареенето. Това е като |_+_| команда с премахнати елементи за създаване на парола.

    |_+_| (списък) опцията представя същата информация като |_+_| команда, но по-приятелски.

    Пишем следното:

    -x

    Друго приятно докосване е, че можете да зададете дата на изтичане на акаунта, като използвате |_+_| опция (изтичане). Ще предадем дата (във формата година-месец-дата), за да зададем дата на изтичане на 30 ноември 2020 г. На тази дата акаунтът ще бъде заключен.

    Пишем следното:

    -S

    След това въвеждаме следното, за да се уверим, че тази промяна е извършена:

    -e

    Виждаме, че срокът на валидност на акаунта е променен от никога на 30 ноември 2020 г.

    Реклама

    За да зададете срок на валидност на паролата, можете да използвате |_+_| опция (максимум дни), заедно с максималния брой дни, в които може да се използва паролата, преди да бъде променена.

    Пишем следното:

    -S

    Пишем следното, като използваме |_+_| (списък) опция, за да видите ефекта от нашата команда:

    chage

    Датата на изтичане на паролата вече е зададена на 45 дни от датата, на която сме я задали, което, както е показано, ще бъде 8 декември 2020 г.

    Извършване на промени в паролата за всички в мрежа

    Когато се създават акаунти, за пароли се използва набор от стойности по подразбиране. Можете да дефинирате какви са настройките по подразбиране за минимални, максимални и предупредителни дни. След това те се съхраняват във файл, наречен /etc/login.defs.

    Можете да въведете следното, за да отворите този файл в |_+_|:

    passwd

    Превъртете до контролите за стареене на паролата.

    Контролите за стареене на паролата в редактора на gedit.

    Можете да ги редактирате, за да отговарят на вашите изисквания, да запазите промените си и след това да затворите редактора. Следващият път, когато създадете потребителски акаунт, тези стойности по подразбиране ще бъдат приложени.

    Реклама

    Ако искате да промените всички дати на валидност на паролата за съществуващи потребителски акаунти, можете лесно да го направите със скрипт. Просто въведете следното, за да отворите |_+_| редактор и създайте файл, наречен password-date.sh:

    -l

    След това копирайте следния текст във вашия редактор, запазете файла и след това затворете |_+_|:

    passwd -S

    Това ще промени максималния брой дни за всеки потребителски акаунт на 28 и следователно честотата за нулиране на паролата. Можете да регулирате стойността на |_+_| променлива според нуждите.

    Първо, въвеждаме следното, за да направим нашия скрипт изпълним:

    -E

    Сега можем да напишем следното, за да стартираме нашия скрипт:

    -M

    След това всеки акаунт се обработва, както е показано по-долу.

    Въведем следното, за да проверим сметката за mary:

    -l

    Реклама

    Максималната стойност на дните е зададена на 28 и ни казаха, че ще падне на 21 ноември 2020 г. Можете също така лесно да промените скрипта и да добавите още |_+_| или |_+_| команди.


    Управлението на пароли е нещо, което трябва да се вземе сериозно. Сега имате инструментите, от които се нуждаете, за да поемете контрола.

    ПРОЧЕТЕТЕ СЛЕДВАЩО
    • & rsaquo; Кибер понеделник 2021: Най-добрите технологични сделки
    • › Компютърната папка е 40: Как Xerox Star създаде работния плот
    • › 5 уебсайта, които всеки потребител на Linux трябва да направи отметка
    • › Какво представлява MIL-SPEC защита от изпускане?
    • › Функции срещу формули в Microsoft Excel: Каква е разликата?
    • › Как да намерите своя Spotify Wrapped 2021
    Снимка на профила на Дейв Маккей Дейв Маккей
    Дейв Маккей за първи път използва компютри, когато перфорираната хартиена лента беше на мода и оттогава той програмира. След повече от 30 години в ИТ индустрията, той вече е технологичен журналист на пълен работен ден. По време на кариерата си той е работил като програмист на свободна практика, мениджър на международен екип за разработка на софтуер, ръководител на проекти за ИТ услуги и, последно, като служител по защита на данните. Неговото писане е публикувано от howtogeek.com, cloudsavvyit.com, tenterpriser.com и opensource.com. Дейв е евангелист на Linux и привърженик на отворен код.
    Прочетете пълната биография

Интересни Статии