8.10. Управление паролями

Проблема

Требуется сбросить пароль, установить срок его действия или ограничить количество неудачных попыток входа. Сброс решает вечную проблему забытого пароля. Многие администраторы Linux считают, что срок действия пароля нужно ограничивать, поскольку это заставляет пользователей периодически менять пароль.

Решение

Операции назначения и настройки паролей осуществляются командой passwd.

Сброс или изменение пароля: 

# passwd aborg

Пользователь также может сменить свой пароль: 

aborg@server04:~$ passwd

Следующая команда ограничивает срок действия пароля aborg шестью месяцами, с выдачей предупреждения за пять дней: 

# passwd -x 180 -w 5 aborg

Чтобы просмотреть состояние пароля пользователя, воспользуйтесь командой: 

# passwd -S aborg

Пример вывода команды: 

aborg P 02/18/2004 0 10 5 1

Комментарий

Пароль может содержать цифры, буквы и знаки препинания, при этом они чувствительны к регистру символов. Пробелы и функциональные клавиши не допускаются. Рекомендуется использовать сложные пароли, которые включают в себя комбинации символов, не являющиеся легко угадываемыми. В качестве паролей не следует выбирать имена, даты рождения или известные слова, так как это снижает уровень безопасности.

К сожалению, многие пользователи выбирают слабые, легко угадываемые пароли или хранят их в небезопасных местах (например, на записке, прикреплённой к монитору). Пароли Linux не восстанавливаются, поэтому при их утрате необходимо обратиться к системному администратору или суперпользователю для сброса пароля и назначения нового.

Для повышения безопасности можно настроить систему так, чтобы ограничить количество неудачных попыток ввода пароля. Это можно сделать с помощью утилиты pam_tally или более современного pam_faillock, которые позволяют автоматически блокировать учётные записи после определённого числа неудачных попыток входа. Это помогает предотвратить атаки перебора паролей.

Также рекомендуется использовать политики по длине паролей, которые можно установить через утилиту passwdqc. Это дополнительно повысит безопасность системы, обеспечивая минимальный уровень сложности для всех новых паролей.

См. также

passwd(1), passwd(5), pam_tally(8), pam_faillock(8), passwdqc(8).