RHEL 7 – Note RHCSA (cheat sheet)
Configurazione password
l'invecchiamento della password richiede agli utenti di modificare periodicamente la propria password. Usa la modifica per configurare la scadenza della password. La sintassi è :
# chage [options] user_name
– Quando si attiva la modifica dei comandi, vengono visualizzate anche le opzioni attualmente impostate.
# chage oracle Changing the aging information for oracle Enter the new value, or press ENTER for the default Minimum Password Age [14]: Maximum Password Age [30]: Last Password Change (YYYY-MM-DD) [2016-08-23]: Password Expiration Warning [7]: Password Inactive [-1]: Account Expiration Date (YYYY-MM-DD) [1969-12-31]:
Le informazioni sulla scadenza della password sono archiviate in /etc/shadow file.
# grep oracle /etc/shadow oracle:$6$H28sLVDL$iNvp/AvbMeqqrslH2bfmTxJpE6.mO8UNzlIXGB3sp87jZP9dW1DxeoLf2QXR7hkLkomuXbtgO1zPKUEYRY8YI1:15284:14:30:7:::
Come mostrato sopra, l'utente Oracle ha un'età minima della password di 14 e un'età massima della password di 30 – Significa che in 14 giorni l'utente avrà 30 giorni per cambiare la password. Inoltre l'utente è avvisato di modificare la password 7 giorni prima della data di scadenza della password.
Opzioni di cambio
Numero di opzioni sono disponibili nel comando chage. Per elencare le informazioni sull'invecchiamento:
# chage -l geek Last password change : Sep 18, 2016 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
Per forzare un utente a impostare immediatamente una nuova password (forza la scadenza immediata), imposta il valore dell'ultima modifica della password su 0 :
# chage –d 0 geek
authconfig
Anche l'algoritmo di hashing della password dell'utente Linux è configurabile. Utilizzare il comando authconfig per determinare l'algoritmo corrente in uso o per impostarlo su qualcosa di diverso. Per determinare l'algoritmo corrente:
# authconfig --test | grep hashing password hashing algorithm is sha512
Per modificare l'algoritmo, utilizzare l'opzione –passalgo con uno dei seguenti parametri:descrypt, bigcrypt, md5, sha256 o sha512, seguito dall'opzione –update.
# authconfig --passalgo=md5 --update
file/etc/login.defs
Il file /etc/login.defs fornisce le impostazioni dell'account utente predefinito. I valori predefiniti includono:
- Posizione delle caselle di posta degli utenti
- Controlli dell'invecchiamento delle password
- Valori per la selezione automatica dell'UID
- Valori per la selezione automatica del GID
- Opzioni di creazione della home directory dell'utente
- umaskvalue
- Metodo di crittografia utilizzato per crittografare le password
Esempio di file /etc/login.defs :
# cat /etc/login.defs ..... PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 ...... GID_MIN 1000 GID_MAX 60000 ..... UID_MIN 1000 UID_MAX 60000