Alcuni di voi potrebbero lavorare in settori altamente regolamentati, come medico, governo, appalti governativi e cibo e bevande. Probabilmente hai linee guida rigorose per l'invecchiamento della password, modifiche regolari della password, lunghezza minima, complessità e limiti di tempo minimi tra le modifiche della password. Altri di voi potrebbero utilizzare linee guida altrettanto rigide semplicemente perché è una buona pratica farlo. Questo articolo descrive come controllare gli account utente e impostare alcune linee guida sulla scadenza delle password e sulla frequenza delle modifiche. Per gli esempi, utilizzo chage comando.
[ Potresti anche divertirti a leggere:Bilanciare la sicurezza di Linux con l'usabilità ]
La chage il comando è autodescritto come l'utilità "modifica le informazioni sulla scadenza della password dell'utente". Secondo la chage pagina man:
Il comando chage modifica il numero di giorni tra le modifiche della password e la data dell'ultima modifica della password. Queste informazioni vengono utilizzate dal sistema per determinare quando un utente deve modificare la propria password.
Controllo degli account utente
Gli audit periodici dell'account non sono solo una buona idea ma, a seconda delle normative di conformità del tuo settore, potrebbero essere un requisito. È facile verificare i requisiti di modifica della password utilizzando il chage comando. Ecco un esempio:
# chage -l jdoe
Last password change : Apr 20, 2021
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
Come puoi vedere, l'audit di jdoe l'account utente restituisce un errore di controllo. Gli indicatori chiave sono che la password dell'utente non scade mai e non c'è un numero minimo o massimo di giorni tra le modifiche della password. Alcune normative del settore richiedono che le password cambino ogni 45 giorni, mentre altre impongono una modifica di 90 giorni. E potrebbe essere che alcune aziende e normative richiedano un intervallo di modifica di 30 giorni.
Password di un utente in scadenza
Ogni client che ho supportato finora ha utilizzato una scadenza della password di 90 giorni e un numero minimo di giorni tra le modifiche della password impostato su uno. L'impostazione di un numero minimo di giorni tra le modifiche della password aiuta a impedire a un utente di modificare la propria password ripetutamente finché non può reimpostarla su quella precedente, aggirando la sicurezza del sistema. Puoi impostare questo numero su qualcosa di più grande di uno. Alcune aziende impostano il numero minimo di giorni su sette.
# chage -m 1 -M 90 jdoe
# chage -l jdoe
Last password change : Apr 20, 2021
Password expires : Jul 19, 2021
Password inactive : never
Account expires : never
Minimum number of days between password change : 1
Maximum number of days between password change : 90
Number of days of warning before password expires : 7
La chage il comando fa scadere la password dell'utente 90 giorni dall'ultima modifica della password. Pertanto, se hai modificato la tua password l'ultima volta il 15 gennaio 2019, la tua password scadrà con una data del 15 aprile 2019. Ciò significa che se la tua data di scadenza è nel passato, ti verrà chiesto di cambiarla il prossimo accedi.
$ ssh [email protected]
[email protected]'s password:
You are required to change your password immediately (password expired)
Activate the web console with: systemctl enable --now cockpit.socket
Last login: Sat Jun 19 10:46:27 2021
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user jdoe.
Current password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
Connection to 192.168.0.99 closed.
Si noti che dopo la modifica della password, il sistema remoto disconnette l'utente. L'utente deve riavviare la connessione al sistema remoto e accedere con la nuova password.
L'avvertenza e la cura
Ho sentito molti argomenti di utenti e amministratori di sistema contro l'impostazione di un numero minimo di giorni tra le modifiche della password affermando che interrompe gli script automatizzati. La mia risposta è sempre stata:"Non utilizzare le password per gli script automatizzati". Il motivo è che alcuni utenti e amministratori di sistema scrivono le password in testo normale in quegli script automatici, e questo è un aspetto negativo, anche se limitano i permessi di uno script all'account utente che li esegue.
La soluzione consiste nell'utilizzare coppie di chiavi SSH per attività automatizzate tra i sistemi.
[ Stai pensando alla sicurezza? Dai un'occhiata a questa guida gratuita per aumentare la sicurezza del cloud ibrido e proteggere la tua azienda. ]
Concludi
Questo articolo offre una rapida panoramica dell'utilizzo di chage comando per controllare e far scadere le password sui sistemi che gestisci. Se non vuoi controllare ogni account singolarmente, ti suggerisco di creare uno script per controllare periodicamente gli account dei tuoi utenti e far scadere quelli che non rispettano le tue politiche di sicurezza e i requisiti normativi.