Управление паролями

Правила установки, использования и управления паролями являются важнейшей частью системной политики. Обычно они включают в себя, минимум, следующее:

• определение категории пользователей, которые имеют право самостоятельного выбора паролей с помощью команды passwd;
• правила выбора паролей и требования к их уровню сложности;
• сроки устаревания паролей;
• длительности периодов запрета на изменение паролей.

Четко сформулированная политика управления паролями значительно облегчает администрирование системы. Так, например, установив правила выбора паролей, их минимальную длину и требуемый уровень сложности, достаточно настроить модуль контроля паролей системы PAM для автоматической проверки соответствия выбираемого пользователем пароля требованиям безопасности.
Команда passwd помимо изменения паролей предоставляет и другие возможности. Далее приведен список часто применяемых опций команды passwd:

• -l - блокирование учетной записи;
• -u - деблокирование учетной записи;
• -S - получение текущего состояния пароля;
• -d - удаление пароля;
• -n - период запрета смены пароля (минимальное время жизни пароля);
• -x - максимальный срок использования пароля;
• -w - установка количества дней до момента устаревания пароля, начиная с которого будут выдаваться предупреждения о необходимости смены пароля;
• -i - срок с момента устаревания до блокировки пароля.

Пример. Блокирование учетной записи
# id lisa
uid=503 (lisa) gid=503 (lisa) groups=503 (lisa),22 (cdrom)
# cat /etc/shadow
lisa:$2a$08@Z4jZgPzM2GDVguFd4TRE3ubB:14316::::::
# passwd -l lisa
# cat /etc/shadow
lisa:!$2a$08@Z4jZgPzM2GDVguFd4TRE3ubB:14316::::::

В примере после блокирования учетной записи в первой позиции второго поля файла /etc/shadow перед шифрованным паролем пользователя появляется знак восклицания. При разблокировании учетной записи он исчезает.