7 примеров управления истечением и устареванием пароля Linux с помощью chage

В соответствии с передовой практикой пользователи должны регулярно менять пароли. Но обычно разработчики и другие пользователи системы Linux не меняют пароль, если они не вынуждены менять свой пароль.

Системные администраторы обязаны найти способ заставить разработчиков изменить свой пароль. Заставлять пользователей менять свой пароль с пистолетом на голове не вариант! Хотя большинство сисадминов, которые заботятся о безопасности, могут даже испытывать искушение сделать это.

В этой статье мы рассмотрим, как вы можете использовать команду Linux chage для выполнения нескольких практических действий по устареванию пароля, включая инструкции по изменению пароля.

В Debian вы можете установить chage, выполнив следующую команду:

  # apt-get install chage

Примечание: по этой команде очень легко сделать опечатку. Вместо chage вы можете в конечном итоге напечатать это как изменение. Пожалуйста, помните, что chage означает «изменить возраст». то есть аббревиатура команды chage похожа на chmod, chown и т. д.,

1. Перечислите пароль и связанные с ним детали для пользователя

Как показано ниже, любой пользователь может выполнить команду chage для себя, чтобы определить, когда истекает срок действия его пароля.

Syntax: chage –-list username (or) chage -l username

$ chage --list RSA
Last password change                                    : Apr 01, 2019
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

Если пользователь RSA попытается выполнить ту же команду для пользователя admin, он получит следующее сообщение об отказе в разрешении.

$ chage --list admin
chage: permission denied

Примечание. Однако пользователь root может выполнить команду chage для любой учетной записи.

Когда пользователь RSA изменит свой пароль 23 апреля 2020 года, он обновит значение «Последнее изменение пароля», как показано ниже.

$ date
Thu Apr 23 00:15:20 PDT 2020

$ passwd RSA
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully

$ chage --list RSA
Last password change                                    : Apr 23, 2020
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7

2. Установите срок действия пароля для пользователя, используя опцию chage -M

Пользователь root (системные администраторы) может установить срок действия пароля для любого пользователя. В следующем примере пароль пользователя RSA истекает через 10 дней после последнего изменения пароля.

Обратите внимание, что опция -M обновит записи «Срок действия пароля» и «Максимальное количество дней между сменами пароля», как показано ниже.

Syntax: # chage -M number-of-days username

# chage -M 10 RSA

# chage --list RSA
Last password change                                    : Apr 23, 2020
Password expires                                        : May 03, 2020
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 10
Number of days of warning before password expires       : 7

3. Предупреждение об истечении срока действия пароля при входе

По умолчанию количество дней предупреждения до истечения срока действия пароля установлено на 7. Итак, в приведенном выше примере, когда пользователь RSA пытается войти в систему 30 апреля 2020 года, он получит следующее сообщение.

$ ssh RSA@testingserver
RSA@testingserver's password:
Warning: your password will expire in 3 days

4. Пользователь вынужден сменить пароль после истечения срока действия

Если истекает срок действия пароля и пользователь не меняет свой пароль, система заставит пользователя сменить пароль до входа в систему, как показано ниже.

$ ssh RSA@testingserver
RSA@testingserver's password:

You are required to change your password immediately (password aged)
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for RSA
(current) UNIX password:
Enter new UNIX password:
Retype new UNIX password:

5. Установите срок действия учетной записи для пользователя.

Вы также можете использовать команду chage, чтобы установить дату истечения срока действия учетной записи, как показано ниже, используя опцию -E. Дата, указанная ниже, представлена ​​в формате «ГГГГ-ММ-ДД». Это обновит значение «Срок действия учетной записи», как показано ниже.

# chage -E "2020-05-31" RSA

# chage -l RSA
Last password change                                    : Apr 23, 2020
Password expires                                        : May 03, 2020
Password inactive                                       : never
Account expires                                         : May 31, 2020
Minimum number of days between password change          : 0
Maximum number of days between password change          : 10
Number of days of warning before password expires       : 7

6. Принудительно заблокировать учетную запись пользователя через X дней бездействия.

Обычно, если срок действия пароля истек, пользователи вынуждены менять его при следующем входе в систему. Вы также можете установить дополнительное условие, при котором после истечения срока действия пароля, если пользователь никогда не пытался войти в систему в течение 10 дней, вы можете автоматически заблокировать его учетную запись, используя опцию -I, как показано ниже. В этом примере дата «Пароль неактивен» устанавливается равной 10 дням от значения «Срок действия пароля».

Как только учетная запись заблокирована, только системные администраторы смогут ее разблокировать.

# chage -I 10 RSA

# chage -l RSA
Last password change                                    : Apr 23, 2020
Password expires                                        : May 03, 2020
Password inactive                                       : May 13, 2020
Account expires                                         : May 31, 2020
Minimum number of days between password change          : 0
Maximum number of days between password change          : 10
Number of days of warning before password expires       : 7

7. Как отключить устаревание пароля для учетной записи пользователя

Чтобы отключить срок действия пароля для учетной записи пользователя, установите следующее:

• -m 0 установит минимальное количество дней между сменой пароля на 0
• -M 99999 установит максимальное количество дней между сменой пароля на 99999
• -I -1 (число минус один) установит «пароль неактивным», чтобы никогда
• -E -1 (число минус один) установит «Истекает счет» никогда.

# chage -m 0 -M 99999 -I -1 -E -1 RSA

# chage --list RSA
Last password change                                    : Apr 23, 2020
Password expires                                        : never
Password inactive                                       : never
Account expires                                         : never
Minimum number of days between password change          : 0
Maximum number of days between password change          : 99999
Number of days of warning before password expires       : 7