RHEL 7 – RHCSA-Hinweise (Spickzettel)
Passwortkonfiguration
Die Kennwortalterung erfordert, dass Benutzer ihr Kennwort regelmäßig ändern. Verwenden Sie die Chage zum Konfigurieren des Kennwortablaufs. Die Syntax lautet:
# chage [options] user_name
– Wenn Sie den Befehl „chage“ auslösen, werden auch die aktuell eingestellten Optionen angezeigt.
# chage oracle Changing the aging information for oracle Enter the new value, or press ENTER for the default Minimum Password Age [14]: Maximum Password Age [30]: Last Password Change (YYYY-MM-DD) [2016-08-23]: Password Expiration Warning [7]: Password Inactive [-1]: Account Expiration Date (YYYY-MM-DD) [1969-12-31]:
Informationen zum Kennwortablauf werden in /etc/shadow gespeichert Datei.
# grep oracle /etc/shadow oracle:$6$H28sLVDL$iNvp/AvbMeqqrslH2bfmTxJpE6.mO8UNzlIXGB3sp87jZP9dW1DxeoLf2QXR7hkLkomuXbtgO1zPKUEYRY8YI1:15284:14:30:7:::
Wie oben gezeigt, hat der Oracle-Benutzer ein Mindestalter für Passwörter von 14 und ein maximales Passwortalter von 30 – Dies bedeutet, dass der Benutzer in 14 Tagen 30 Tage Zeit hat, das Passwort zu ändern. Außerdem wird der Benutzer gewarnt, das Passwort 7 Tage vor dem Ablaufdatum des Passworts zu ändern.
Änderungsoptionen
Im Befehl chage stehen mehrere Optionen zur Verfügung. Alterungsinformationen auflisten:
# chage -l geek Last password change : Sep 18, 2016 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
Um einen Benutzer zu zwingen, sofort ein neues Passwort festzulegen (unmittelbaren Ablauf erzwingen), setzen Sie den letzten Passwortänderungswert auf 0 :
# chage –d 0 geek
authconfig
Der Hash-Algorithmus für Linux-Benutzerkennwörter ist ebenfalls konfigurierbar. Verwenden Sie den Befehl authconfig, um den aktuell verwendeten Algorithmus zu bestimmen oder ihn auf etwas anderes einzustellen. So bestimmen Sie den aktuellen Algorithmus:
# authconfig --test | grep hashing password hashing algorithm is sha512
Verwenden Sie zum Ändern des Algorithmus die Option –passalgo mit einem der folgenden Parameter als Parameter:descrypt, bigcrypt, md5, sha256 oder sha512, gefolgt von der Option –update.
# authconfig --passalgo=md5 --update
/etc/login.defs-Datei
Die Datei /etc/login.defs enthält Standardeinstellungen für Benutzerkonten. Zu den Standardwerten gehören:
- Speicherort der Benutzerpostfächer
- Passwortalterungskontrollen
- Werte für die automatische UID-Auswahl
- Werte für die automatische GID-Auswahl
- Erstellungsoptionen für Benutzer-Home-Verzeichnisse
- Umaskwert
- Verschlüsselungsverfahren zum Verschlüsseln von Passwörtern
Beispieldatei /etc/login.defs :
# cat /etc/login.defs ..... PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 ...... GID_MIN 1000 GID_MAX 60000 ..... UID_MIN 1000 UID_MAX 60000