Sådan tvinge brugerne til at ændre deres adgangskode på Linux

Nov 4, 2024
Linux
Ilya Titchev / Shutterstock

Adgangskoder er keystone til konto sikkerhed. Vi viser dig, hvordan du nulstiller adgangskoder, indstil adgangskodeudløbsperioder og håndhæve adgangskodeændringer på dit Linux-netværk.

Adgangskoden har eksisteret i næsten 60 år

Vi har bevist at computere, at vi er, som vi siger, at vi er siden midten af ​​1960'erne, når adgangskoden først blev introduceret. Nødvendigheden er moderen til opfindelsen, den Kompatibelt tidsdelingssystem udviklet på Massachusetts Tekniske Institut havde brug for en måde at identificere forskellige mennesker på systemet. Det var også nødvendigt for at forhindre folk i at se hinandens filer.

Fernando J. Corbató. foreslået en ordning, der tildelte et unikt brugernavn til hver person. For at bevise nogen var, hvem de sagde, at de var, måtte de bruge en privat personlig adgangskode til at få adgang til deres konto.

Problemet med adgangskoder er, at de opererer ligesom en nøgle. Enhver, der har en nøgle, kan bruge den. Hvis nogen finder, gætter, eller tal ud af dit kodeord, kan denne person få adgang til din konto. Så længe Multi-Factor Authentication er universelt tilgængelig, adgangskoden er det eneste, der holder uautoriserede mennesker ( trusselsaktører , i cybersikkerhed-tale) ud af dit system.

Fjernforbindelser foretaget af en sikker shell (SSH) kan konfigureres til at bruge SSH-nøgler i stedet for adgangskoder, og det er godt. Men det er kun en forbindelsesmetode, og den dækker ikke lokale logins.

Det er klart, at ledelsen af ​​adgangskoder er afgørende, ligesom ledelsen af ​​de mennesker, der bruger disse adgangskoder.

RELATEREDE: Sådan oprettes og installerer SSH-nøgler fra Linux Shell

En adgangskode anatomi

Hvad gør en adgangskode god, alligevel? Nå skal en god adgangskode have alle følgende attributter:

  • Det er umuligt at gætte eller finde ud af.
  • Du har ikke brugt det andetsteds.
  • Det har ikke været involveret i en Data Breach. .

Det Har jeg været pwned (HIBP) hjemmeside indeholder over 10 milliarder sæt overtrædende legitimationsoplysninger. Med figurer, der høje, er chancerne, at en anden har brugt det samme kodeord, du er. Det betyder, at din adgangskode kan være i databasen, selvom det ikke var din konto, der blev overtrådt.

Hvis dit kodeord er på HIBP-webstedet, betyder det, at det er på listerne over adgangskoder trusselsaktører ' brute-force og ordbog angreb Værktøjer bruger, når de forsøger at knække en konto.

En virkelig tilfældig adgangskode (som 4hw @ hpjdbr% * WT @ # B ~ AP) er praktisk talt uskadelig, men selvfølgelig vil du aldrig huske det. Vi anbefaler stærkt, at du bruger en adgangskodeadministrator for online-konti. De genererer komplekse, tilfældige adgangskoder til alle dine online-konti, og du behøver ikke at huske dem - Password Manager leverer den korrekte adgangskode til dig.

For lokale konti skal hver person generere sin egen adgangskode. De skal også vide, hvad der er en acceptabel adgangskode, og hvad der ikke er. De skal fortælles ikke at genbruge adgangskoder på andre konti, og så videre.

Disse oplysninger er normalt i en organisations adgangskode politik. Det instruerer folk til at bruge et minimum antal tegn, blande over- og små bogstaver, inkludere symboler og tegnsætning, og så videre.

Men ifølge en helt ny pape r fra et hold på Carnegie Mellon University. , alle disse tricks tilføjer lidt eller intet til robustheden af ​​et kodeord. Forskere fandt ud af, at de to nøglefaktorer for adgangskode robusthed er, at de er mindst 12 tegn lange og tilstrækkeligt stærke. De målte adgangskode styrke ved hjælp af en række software cracker-programmer, statistiske teknikker og neurale netværk.

Et minimum på 12 tegn kan i første omgang lyde skræmmende. Men tænk ikke i form af et kodeord, men snarere en adgangskode af tre eller fire ikke-relaterede ord adskilt af tegnsætning.

For eksempel er Experte Password Checker. Sagde det ville tage 42 minutter at knuse "Chicago99", men 400 milliarder år for at knække "chimney.purple.bag." Det er også nemt at huske og skrive, og indeholder kun 18 tegn.

RELATEREDE: Hvorfor skal du bruge en adgangskodechef, og hvordan man kommer i gang

Gennemgang af nuværende indstillinger.

Før du skifter noget at gøre med en persons adgangskode, er det forsigtigt at kigge på deres nuværende indstillinger. Med passwd. kommando, du kan Gennemgå deres nuværende indstillinger med sin -S. (status) mulighed. Bemærk, at du også skal bruge sudo. med passwd. Hvis du arbejder med en andens adgangskodeindstillinger.

Vi skriver følgende: 

 Sudo Passwd -S Mary

En enkelt informationslinje udskrives til terminalvinduet, som vist nedenfor.

Du ser følgende oplysninger (fra venstre til højre) i dette CURT-svar:

  • Personens loginnavn.
  • En af de følgende tre mulige indikatorer vises her:
    • P: Angiver, at kontoen har en gyldig, arbejdsadgangskode.
    • L: Betyder, at kontoen er låst af ejeren af ​​rodkontoen.
    • NP: En adgangskode er ikke indstillet.
  • Datoen Adgangskoden blev sidst ændret.
  • Minimum adgangskode alder: Minimumsperioden (i dage), der skal forløbe mellem adgangskode nulstillet af ejeren af ​​kontoen. Ejeren af ​​rodkontoen kan dog altid ændre nogen adgangskode. Hvis denne værdi er 0 (nul), er der ikke en begrænsning af hyppigheden af ​​adgangskodeændringer.
  • Maksimal adgangskode alder: Ejeren af ​​kontoen bliver bedt om at ændre hans eller hendes adgangskode, når den når denne alder. Denne værdi gives i dage, så en værdi på 99,999 betyder, at adgangskoden aldrig udløber.
  • Advarselsperiode for adgangskode: Hvis en maksimal adgangskode alder håndhæves, vil kontoejeren modtage påmindelser om at ændre hans eller hendes adgangskode. Den første af disse vil blive sendt antallet af dage, der er vist her før nulstillingsdatoen.
  • Inaktivitetsperiode for adgangskoden: Hvis nogen ikke har adgang til systemet i en periode, der overlapper adgangskoden Reset-deadline, ændres denne persons adgangskode ikke. Denne værdi angiver, hvor mange dage Grace-perioden følger en adgangskode udløbsdato. Hvis kontoen forbliver inaktivt dette antal dage efter en adgangskode udløber, er kontoen låst. En værdi på -1 deaktiverer nådeperioden.

Indstilling af en maksimal adgangskode alder

For at indstille en nulstillingsperiode for adgangskode kan du bruge -x (Maksimal dage) Mulighed med et antal dage. Du forlader ikke en plads mellem -x og cifrene, så du vil skrive det som følger: 

 sudo passwd -x45 Mary

Vi er fortalt, at udløbsværdien er blevet ændret, som vist nedenfor.

Brug -S. (Status) mulighed for at kontrollere, at værdien er nu 45: 

 Sudo Passwd -S Mary

Nu, i 45 dage, skal der indstilles en ny adgangskode til denne konto. Påmindelser vil påbegynde syv dage før det. Hvis en ny adgangskode ikke er angivet i tide, vil denne konto blive låst straks.

Håndhævelse af en øjeblikkelig adgangskodeændring

Du kan også bruge en kommando, så andre på dit netværk bliver nødt til at ændre deres adgangskoder næste gang de logger ind. For at gøre dette, vil du bruge -E. (udløb) mulighed, som følger: 

 sudo passwd -e Mary

Vi fortalte derefter adgangskoden udløbsoplysninger er ændret.

Lad os kontrollere med -S. Mulighed og se, hvad der er sket: 

 Sudo Passwd -S Mary

Datoen for den sidste adgangskodeændring er indstillet til den første dag i 1970. Næste gang denne person forsøger at logge ind, bliver han eller hun nødt til at ændre deres adgangskode. De skal også give deres nuværende adgangskode, før de kan skrive en ny.

Skal du håndhæve adgangskodeændringer?

Tvinge folk til at ændre deres adgangskoder regelmæssigt plejede at være sund fornuft. Det var en af ​​de rutinemæssige sikkerhedstrin for de fleste installationer og betragtes som en god forretningspraksis.

Tanken er nu den polære modsatte. I U.K., National Cyber ​​Security Center stærkt rådgiver. mod håndhævelse af regelmæssige adgangskode fornyelser , og National Institute of Standards and Technology i U.S. er enig. Begge organisationer anbefaler kun at håndhæve en adgangskodeændring, hvis du ved eller mistænker en eksisterende er kendt af andre .

At tvinge folk til at ændre deres adgangskoder bliver monotont og tilskynder svage adgangskoder. Folk begynder normalt at genbruge en basisadgangskode med en dato eller et andet nummer, der er mærket på det. Eller de vil skrive dem ned, fordi de skal ændre dem så ofte, de kan ikke huske dem.

De to organisationer, vi nævnte ovenfor, anbefaler følgende retningslinjer for adgangskodesikkerhed:

  • Brug en Password Manager: For både online og lokale konti.
  • Tænd to-faktorautentificering: Hvor dette er en mulighed, brug den.
  • Brug en stærk adgangskode: Et glimrende alternativ til de konti, der ikke fungerer sammen med en adgangskodechef. Tre eller flere ord adskilt af tegnsætning eller symboler er en god skabelon at følge.
  • Genbrug aldrig en adgangskode: Undgå at bruge det samme kodeord, du bruger til en anden konto, og absolut ikke bruge en, der er angivet på Har jeg været pwned .

Tipsene ovenfor giver dig mulighed for at etablere et sikkert middel til at få adgang til dine konti. Når du har disse retningslinjer på plads, skal du holde fast i dem. Hvorfor skift dit kodeord Hvis det er stærkt og sikkert? Hvis det falder ind i de forkerte hænder - eller du har mistanke om, at det har - du kan ændre det da.

Nogle gange er denne beslutning uden for dine hænder. Hvis de beføjelser, der håndhæver adgangskodeændringer, har du ikke meget valg. Du kan påberåbe dig din sag og gøre din position kendt, men medmindre du er chefen, skal du følge virksomhedens politik.

RELATEREDE: Skal du regelmæssigt ændre dine adgangskoder?

ChaGe Command.

Du kan bruge det chage. kommando For at ændre indstillingerne vedrørende adgangskode aldring. Denne kommando får sit navn fra "Skift aldring". Det er som passwd. kommando med adgangskode-oprettelseselementerne fjernet.

Det -L. (liste) indstillingen præsenterer de samme oplysninger som passwd -s. kommando, men på en mere venlig måde.

Vi skriver følgende: 

 Sudo Chage -L eric

Et andet pænt tryk er, at du kan indstille en kontoudløbsdato ved hjælp af -E. (udløb) mulighed. Vi sender en dato (i årsmåneders datoformat) for at indstille en udløbsdato for 30. november 2020. På den dato vil kontoen blive låst.

Vi skriver følgende: 

 sudo chage eric -e 2020-11-30

Derefter skriver vi følgende for at sikre, at denne ændring er blevet udført: 

 Sudo Chage -L eric

Vi ser, at kontoudløbsdatoen er ændret fra "ALDRIG" til 30. november 2020.

For at indstille en udløbsperiode for adgangskode kan du bruge -M. (Maks. Dage) Mulighed sammen med det maksimale antal dage kan en adgangskode bruges, før det skal ændres.

Vi skriver følgende: 

 sudo chage -m 45 Mary

Vi skriver følgende ved hjælp af -L. (liste) mulighed for at se effekten af ​​vores kommando: 

 Sudo Chage -L Mary

Dagens udløbsdato er nu indstillet til 45 dage fra den dato, vi indstiller det, som vi er vist, de 8. december 2020.

Gør adgangskodeændringer for alle på et netværk

Når der oprettes konti, bruges et sæt standardværdier til adgangskoder. Du kan definere, hvad standardindstillingerne er for minimum, maksimums- og advarselsdage. Disse holdes derefter i en fil kaldet "/etc/login.defs."

Du kan skrive følgende for at åbne denne fil i gedit. : 

 sudo gedit /etc/login.defs

Rul til adgangskoden Aging Controls.

Du kan redigere disse, så de passer til dine krav, gem dine ændringer, og luk derefter redaktøren. Næste gang du opretter en brugerkonto, vil disse standardværdier blive anvendt.

Hvis du vil ændre alle adgangskodeudløbsdatoer for eksisterende brugerkonti, kan du nemt gøre det med et script. Indtast bare følgende for at åbne gedit. Editor og opret en fil kaldet "Password-Date.sh": 

 sudo gedit password-date.sh

Kopier derefter følgende tekst i din editor, gem filen, og luk derefter gedit. : 

 #! / Bin / bash

Reset_days = 28.

for brugernavn i $ (ls / hjem)
DO
  sudo chage $ brugernavn -m $ reset_dage
  ECHO $ ​​Brugernavn Adgangskode udløb ændret til $ reset_days
Udført

Dette vil ændre det maksimale antal dage for hver brugerkonto til 28, og derfor nulstilles kodeordet. Du kan justere værdien af Reset_days. variabel at passe.

For det første skriver vi følgende for at gøre vores script eksekverbar: 

 chmod + x password-date.sh

Nu kan vi skrive følgende for at køre vores script: 

 sudo ./password-date.sh

Hver konto behandles derefter, som vist nedenfor.

Vi skriver følgende for at kontrollere kontoen for "Mary": 

 Sudo Change -L Mary

Den maksimale dages værdi er sat til 28, og vi bliver fortalt, at det vil falde den 21. november 2020. Du kan også nemt ændre scriptet og tilføje mere chage. eller passwd. kommandoer.

Password management er noget, der skal tages alvorligt. Nu har du de værktøjer, du har brug for til at tage kontrol.

Linux - Mest populære artikler

Sådan bruges "her Dokumenter" i Bash på Linux

Linux Mar 31, 2025

FATMAWATI ACHMAD ZAENURI / SHUTTERSTOCK De mærkeligt navngivne "her dokumenter" giver dig mulighed for at bruge input / out omdirigering inde i bash scripts p..

Hvad er bash ordbøger på Linux, og hvordan bruger du dem?

Linux Jun 16, 2025

fatmawati achmad zaenuri / shutterstock.com Bash Dictionaries giver dig hash kort og associative arrays i Linux Shell scripts. Vi viser dig, hvordan du bruge..

Hvad er nyt i Linux Mint 20.2 "Uma"

Linux Jul 8, 2025

Linux Mint, en af ​​de mere Populære Linux distributioner , har frigivet version 20.2, navnet "Uma". Den leveres med nye funktioner, opgraderede internals og andre ændri..

Hvad er nyt i Fedora 35

Linux Nov 2, 2024

Fedora 35, rød hat 'S Free. Linux distribution. (Distro), blev udgivet den 2. november 2021. Fra en opdateret desktop oplevelse til bag-scenes tweaks, tager vi et ki..

Sådan downloader og installerer Steam på Linux

Linux Oct 9, 2025

Postmodern Studio / Shutterstock.com Så du vil prøve spil på Linux. ? I denne artikel skal du se på, hvordan man installerer damp på enhver Lin..

Kan du installere Linux på en M1 Apple Silicon Mac?

Linux Nov 12, 2024

Ikke alle køber en Mac til udelukkende at køre MacOS. Den dårlige nyhed er, at i november 2021 er indfødt Linux-støtte på Apple Silicon endnu ikke mulig. Der gøres dog fremskridt,..

Sådan håndteres rum i filnavne på Linux

Linux Dec 14, 2024

Som de fleste operativsystemer understøtter Linux filnavne med mellemrum i dem. Men at bruge disse filnavne på kommandolinjen er ikke altid ligetil. Her er flere måder, du kan håndtere filn..

Sådan angiver Linux -tjenester med SystemCtl

Linux Oct 18, 2025

Din Linux -computer er afhængig af en masse baggrundsopgaver kaldet tjenester eller dæmoner. På SystemD-baserede distributioner har du indbyggede kommandoer, der lader dig se, hvilke tjenest..

Kategorier