Einige von Ihnen arbeiten möglicherweise in stark regulierten Branchen wie Medizin, Regierung, öffentliches Auftragswesen sowie Lebensmittel und Getränke. Sie haben wahrscheinlich strenge Richtlinien für die Kennwortalterung, regelmäßige Kennwortänderungen, Mindestlänge, Komplexität und Mindestzeitgrenzen zwischen Kennwortänderungen. Andere von Ihnen verwenden vielleicht ähnlich strenge Richtlinien, einfach weil es eine gute Praxis ist, dies zu tun. In diesem Artikel wird beschrieben, wie Sie Benutzerkonten prüfen und einige Richtlinien zum Ablauf von Kennwörtern und zur Änderungshäufigkeit festlegen. Für die Beispiele verwende ich den chage Befehl.
[ Vielleicht gefällt Ihnen auch die Lektüre:Balance zwischen Linux-Sicherheit und Benutzerfreundlichkeit ]
Die chage Der Befehl beschreibt sich selbst als das Dienstprogramm "Benutzerkennwort-Ablaufinformationen ändern". Gemäß der chage Manpage:
Der Befehl „chage“ ändert die Anzahl der Tage zwischen Kennwortänderungen und dem Datum der letzten Kennwortänderung. Diese Informationen werden vom System verwendet, um zu bestimmen, wann ein Benutzer sein Passwort ändern muss.
Überprüfung von Benutzerkonten
Regelmäßige Kontoprüfungen sind nicht nur eine gute Idee, sondern können je nach den Compliance-Vorschriften Ihrer Branche eine Anforderung sein. Mit chage können Sie ganz einfach prüfen, ob eine Passwortänderung erforderlich ist Befehl. Hier ist ein Beispiel:
# chage -l jdoe
Last password change : Apr 20, 2021
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
Wie Sie sehen können, wird beim Auditieren der jdoe Benutzerkonto ergibt einen Prüfungsfehler. Die Schlüsselindikatoren sind, dass das Passwort des Nutzers nie abläuft und es keine minimale oder maximale Anzahl von Tagen zwischen Passwortänderungen gibt. Einige Branchenvorschriften verlangen, dass Kennwörter alle 45 Tage geändert werden, während andere eine Änderung nach 90 Tagen vorschreiben. Und es kann sein, dass einige Unternehmen und Vorschriften ein 30-tägiges Änderungsintervall erfordern.
Das Passwort eines Benutzers ablaufen lassen
Jeder Kunde, den ich bisher unterstützt habe, hat einen 90-tägigen Passwortablauf und eine auf eins festgelegte Mindestanzahl von Tagen zwischen Passwortänderungen verwendet. Das Festlegen einer Mindestanzahl von Tagen zwischen Passwortänderungen verhindert, dass ein Nutzer sein Passwort wiederholt ändert, bis er es auf das vorherige zurücksetzen kann, wodurch die Systemsicherheit umgangen wird. Sie können diese Zahl auf etwas größer als eins setzen. Einige Unternehmen legen die Mindestanzahl von Tagen auf sieben fest.
# chage -m 1 -M 90 jdoe
# chage -l jdoe
Last password change : Apr 20, 2021
Password expires : Jul 19, 2021
Password inactive : never
Account expires : never
Minimum number of days between password change : 1
Maximum number of days between password change : 90
Number of days of warning before password expires : 7
Die chage Befehl lässt das Passwort des Benutzers 90 Tage nach der letzten Passwortänderung ablaufen. Wenn Sie Ihr Passwort also zuletzt am 15. Januar 2019 geändert haben, würde Ihr Passwort am 15. April 2019 ablaufen. Wenn Ihr Ablaufdatum also in der Vergangenheit liegt, werden Sie aufgefordert, es beim nächsten Mal zu ändern anmelden.
$ ssh [email protected]
[email protected]'s password:
You are required to change your password immediately (password expired)
Activate the web console with: systemctl enable --now cockpit.socket
Last login: Sat Jun 19 10:46:27 2021
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user jdoe.
Current password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
Connection to 192.168.0.99 closed.
Beachten Sie, dass das Remote-System nach der Kennwortänderung die Verbindung zum Benutzer trennt. Der Benutzer muss die Verbindung zum Remote-System neu aufbauen und sich mit seinem neuen Passwort anmelden.
Der Vorbehalt und die Heilung
Ich habe viele Argumente von Benutzern und Systemadministratoren gegen das Festlegen einer Mindestanzahl von Tagen zwischen Kennwortänderungen gehört, die besagten, dass dies automatisierte Skripte unterbreche. Meine Antwort war immer:„Verwenden Sie keine Passwörter für automatisierte Skripte.“ Der Grund dafür ist, dass einige Benutzer und Systemadministratoren Passwörter im Klartext in diese automatisierten Skripte schreiben, und das ist eine schlechte Sache, selbst wenn sie die Berechtigungen eines Skripts auf das Benutzerkonto beschränken, das sie ausführt.
Die Lösung besteht darin, SSH-Schlüsselpaare für automatisierte Aufgaben zwischen Systemen zu verwenden.
[ Denken Sie an Sicherheit? Lesen Sie diesen kostenlosen Leitfaden zur Verbesserung der Hybrid Cloud-Sicherheit und zum Schutz Ihres Unternehmens. ]
Abschluss
Dieser Artikel gibt Ihnen einen schnellen Überblick über die Verwendung von chage Befehl zum Prüfen und Ablaufen von Kennwörtern auf den von Ihnen verwalteten Systemen. Wenn Sie nicht jedes Konto einzeln überprüfen möchten, schlage ich vor, dass Sie ein Skript erstellen, um die Konten Ihrer Benutzer regelmäßig zu überprüfen und diejenigen Konten ungültig zu machen, die nicht Ihren Sicherheitsrichtlinien und gesetzlichen Anforderungen entsprechen.