Управление паролями

Правила установки, использования и управления паролями являются важ- нейшей частью системной политики. Обычно они включают в себя, мини- мум, следующее:

r определение категорий пользователей, которые имеют право самостоя- тельного выбора паролей с помощью команды passwd;

r правила выбора паролей и требования к их уровню сложности;

r сроки устаревания паролей;

r длительности периодов запрета на изменение паролей.

Четко сформулированная политика управления паролями значительно облегчает администрирование системы. Так, например, установив правила выбора паролей, их минимальную длину и требуемый уровень сложности, достаточно настроить модуль контроля паролей системы PAM для автоматической проверки соответ- ствия выбираемого пользователем пароля требованиям безопасности.

Команда passwd помимо изменения паролей предоставляет и другие возмож- ности. Далее приведен список часто применяемых опций команды passwd:

r -l — блокирование учетной записи;

r -u — деблокирование учетной записи;

r -S — получение текущего состояния пароля;

r -d — удаление пароля;

r -n — период запрета смены пароля (минимальное время жизни пароля);

r -x — максимальный срок использования пароля;

r -w — установка количества дней до момента устаревания пароля, начиная с которого будут выдаваться предупреждения о необходимости смены па- роля;

r -i — срок с момента устаревания до блокировки пароля.

# id lisa

uid=503(lisa) gid=503(lisa) groups=503(lisa),22(cdrom)

# cat /etc/shadow lisa:$2a$08$Z4jZgPzM2GDVguFd4TRF3ubB:14316::::::

# passwd -l lisa

# cat /etc/shadow lisa:!$2a$08$Z4jZgPzM2GDVguFd4TRF3ubB:14316::::::

В примере 17.8 после блокирования учетной записи в первой позиции второ- го поля файла /etc/shadow перед шифрованным паролем пользователя появ- ляется знак восклицания. При разблокировании учетной записи он исчезает.