Foto mit freundlicher Genehmigung:mattblaze
Best Practice empfiehlt, dass Benutzer die Passwörter in regelmäßigen Abständen ändern. Aber normalerweise ändern Entwickler und andere Benutzer von Linux-Systemen das Passwort nicht, es sei denn, sie werden gezwungen, ihr Passwort zu ändern.
Es liegt in der Verantwortung des Systemadministrators, einen Weg zu finden, Entwickler zu zwingen, ihr Passwort zu ändern. Benutzer zu zwingen, ihr Passwort mit einer Waffe auf dem Kopf zu ändern, ist keine Option!. Während die meisten sicherheitsbewussten Systemadministratoren sogar versucht sein könnten, dies zu tun.
In diesem Artikel sehen wir uns an, wie Sie den Linux-Befehl chage verwenden können um mehrere praktische Aktivitäten zum Altern von Passwörtern durchzuführen, einschließlich wie man Benutzer dazu zwingt, ihr Passwort zu ändern.
Unter Debian können Sie chage installieren, indem Sie den folgenden Befehl ausführen:
# apt-get install chage
Hinweis: Es ist sehr einfach, bei diesem Befehl einen Tippfehler zu machen. Anstelle von „chage“ können Sie es am Ende als „change“ eingeben. Bitte denken Sie daran, dass chage für „Change Age“ steht. d.h. die Abkürzung für den Befehl „chage“ ist ähnlich wie „chmod“, „chown“ usw.,
1. Auflisten des Passworts und der zugehörigen Details für einen Benutzer
Wie unten gezeigt, kann jeder Benutzer den Befehl ändern ausführen um zu erkennen, wann sein Passwort bald abläuft.
Syntax: chage –-list username (or) chage -l username $ chage --list dhinesh Last password change : Apr 01, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
Wenn der Benutzer dhinesh versucht, denselben Befehl für den Benutzer ramesh auszuführen, erhält er die folgende Meldung, dass die Berechtigung verweigert wurde.
$ chage --list ramesh chage: permission denied
Hinweis: Ein Root-Benutzer kann jedoch den Befehl „chage“ für jedes Benutzerkonto ausführen.
Wenn der Benutzer dhinesh sein Passwort am 23. April 2009 ändert, wird der Wert „Letzte Passwortänderung“ wie unten gezeigt aktualisiert.
Bitte lesen Sie unseren früheren Artikel:Best Practices und ultimativer Leitfaden zum Erstellen eines superstarken Passworts, der Ihnen hilft, die Best Practices beim Ändern des Passworts für Ihr Konto zu befolgen.
$ date Thu Apr 23 00:15:20 PDT 2009 $ passwd dhinesh Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully $ chage --list dhinesh Last password change : Apr 23, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
2. Legen Sie das Ablaufdatum des Kennworts für einen Benutzer mit der Änderungsoption -M
fest
Root-Benutzer (Systemadministratoren) können das Ablaufdatum des Kennworts für jeden Benutzer festlegen. Im folgenden Beispiel wird das dhinesh-Passwort des Benutzers so eingestellt, dass es 10 Tage nach der letzten Passwortänderung abläuft.
Bitte beachten Sie, dass die Option -M sowohl die Einträge „Passwort läuft ab“ als auch „Maximale Anzahl von Tagen zwischen Passwortänderungen“ wie unten gezeigt aktualisiert.
Syntax: # chage -M number-of-days username # chage -M 10 dhinesh # chage --list dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
3. Warnmeldung zum Ablauf des Passworts während der Anmeldung
Standardmäßig ist die Anzahl der Warntage vor Ablauf des Passworts auf 7 eingestellt. Wenn also im obigen Beispiel der Benutzer dhinesh versucht, sich am 30. April 2009 anzumelden, erhält er die folgende Nachricht.
$ ssh dhinesh@testingserver dhinesh@testingserver's password: Warning: your password will expire in 3 days
4. Benutzer gezwungen, Passwort nach Ablaufdatum zu ändern
Wenn das Ablaufdatum des Passworts erreicht ist und der Benutzer sein Passwort nicht ändert, wird das System den Benutzer zwingen, das Passwort vor der Anmeldung zu ändern, wie unten gezeigt.
$ ssh dhinesh@testingserver dhinesh@testingserver's password: You are required to change your password immediately (password aged) WARNING: Your password has expired. You must change your password now and login again! Changing password for dhinesh (current) UNIX password: Enter new UNIX password: Retype new UNIX password:
5. Legen Sie das Ablaufdatum des Kontos für einen Benutzer fest
Sie können auch den Befehl ändern verwenden, um das Ablaufdatum des Kontos wie unten gezeigt mit der Option -E festzulegen. Das unten angegebene Datum hat das Format „JJJJ-MM-TT“. Dadurch wird der Wert „Konto läuft ab“ wie unten gezeigt aktualisiert.
# chage -E "2009-05-31" dhinesh # chage -l dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : never Account expires : May 31, 2009 Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
6. Erzwingen, dass das Benutzerkonto nach X Tagen Inaktivität gesperrt wird
Wenn das Kennwort abgelaufen ist, müssen Benutzer es normalerweise bei ihrer nächsten Anmeldung ändern. Sie können auch eine zusätzliche Bedingung festlegen, bei der Sie nach Ablauf des Passworts, wenn der Benutzer 10 Tage lang nicht versucht hat, sich anzumelden, sein Konto automatisch mit der Option -I sperren können, wie unten gezeigt. In diesem Beispiel wird das Datum „Passwort inaktiv“ auf 10 Tage ab dem Wert „Passwort läuft ab“ gesetzt.
Sobald ein Konto gesperrt ist, können nur Systemadministratoren es entsperren.
# chage -I 10 dhinesh # chage -l dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : May 13, 2009 Account expires : May 31, 2009 Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
7. So deaktivieren Sie die Passwortalterung für ein Benutzerkonto
Um den Kennwortablauf für ein Benutzerkonto zu deaktivieren, legen Sie Folgendes fest:
- -m 0 setzt die Mindestanzahl von Tagen zwischen Passwortänderungen auf 0
- -M 99999 setzt die maximale Anzahl von Tagen zwischen Passwortänderungen auf 99999
- -I -1 (Zahl minus eins) setzt das „Passwort inaktiv“ auf nie
- -E -1 (Zahl minus eins) setzt „Konto läuft ab“ auf nie.
# chage -m 0 -M 99999 -I -1 -E -1 dhinesh # chage --list dhinesh Last password change : Apr 23, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
Dieser Artikel wurde von Dhineshkumar Manikannan. verfasst Er arbeitet bei bk Systems (p) Ltd und ist daran interessiert, zu Open Source beizutragen. The Geek Stuff freut sich über Ihre Tipps und Gastartikel