Dopo l'installazione del sistema, la maggior parte delle distribuzioni Linux® ha regole rilassate riguardo alla frequenza con cui devi cambiare la tua password, o per quanto tempo devi aspettare prima di poterla cambiare di nuovo. Questo articolo fornisce linee guida per modificare le regole dei criteri password per rafforzare la sicurezza delle password.
Impostazione delle politiche per futuri nuovi account utente
I server cloud memorizzano le politiche delle password per i nuovi account utente in /etc/login.defs file di configurazione. Questo file contiene un paio di opzioni utili:
PASS_MAX_DAYS:Numero massimo di giorni in cui puoi utilizzare una password.PASS_MIN_DAYS:Numero minimo di giorni consentiti tra le modifiche della password.PASS_MIN_LEN:Lunghezza minima della password accettabile.PASS_WARN_AGE:numero di giorni prima della scadenza di una password per l'invio di un avviso.
Per impostazione predefinita, i Cloud Server impostano queste opzioni sui seguenti valori:
PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7
Queste impostazioni ti consentono di conservare la tua password quasi per sempre, di cambiarla tutte le volte che vuoi e di impostare un limite di lunghezza per la password stessa.
L'esempio seguente mostra le regole dei criteri password più sicure rispetto alle impostazioni predefinite:
PASS_MAX_DAYS 60 PASS_MIN_DAYS 5 PASS_MIN_LEN 8 PASS_WARN_AGE 7
Queste nuove regole si applicano a tutti gli account appena creati. Le password per questi account devono essere lunghe 8 caratteri e durare solo 60 giorni, e gli utenti non possono cambiarle per 5 giorni, a partire dal giorno in cui hanno impostato la password. Gli utenti ricevono anche un avviso 7 giorni prima della scadenza della password.
Impostazione dei criteri per gli account utente esistenti
Modifiche in /etc/login.defs il file si applica solo agli account creati dagli utenti dopo l'implementazione delle modifiche; non si applicano agli account già esistenti.
Puoi, tuttavia, modificare le stesse impostazioni sugli account esistenti utilizzando il chage comando. Ad esempio:
chage <options> <username>
Puoi anche eseguire chage con solo un nome utente e si apre una modalità interattiva per modificare le impostazioni per la politica della password.
La sintassi per questo comando è la seguente:
chage <username>- Esegue il comando in modalità interattiva.chage -l <username>- Elenca le impostazioni di scadenza correnti per l'account.chage -d <username>- Obbliga l'utente a modificare la propria password al prossimo accesso.chage <options> <username>- Imposta le impostazioni specificate per l'account.
Puoi utilizzare le seguenti opzioni con il chage comando:
-M- Età massima della password in giorni.-m- Età minima della password in giorni. Un valore pari a 0 significa che è richiesta l'età minima.-W- Periodo di avviso della password in giorni, un valore 0 significa che non esiste alcun periodo di avviso.-I- Periodo di inattività della password in giorni, che è il numero di giorni conteggiati dalla data di scadenza della password, durante i quali è ancora possibile accedere e modificare la password. Al termine del periodo di grazia, l'account non sarà più accessibile.-E- Data di scadenza dell'account. È possibile specificare la data in molti formati, inclusa l'epoca. Tuttavia, formati intuitivi come "31 dicembre 2014" funzionano