Linuxのパスワードを定期的に変更する方法

パスワードの有効期限は、一定期間経過後にパスワードの有効期限が切れるシステムメカニズムです。これはユーザーに多少の問題を引き起こす可能性がありますが、パスワードが定期的に変更されることを保証し、優れたセキュリティ対策となります。デフォルトでは、ほとんどのLinuxディストリビューションにはパスワードの有効期限はありませんが、開くのは非常に簡単です。 /etc/login.defsを編集することで、パスワード検証のデフォルト設定を設定するためのいくつかのパラメータを指定できます。PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_WARN_AGE 7パスワードエージングタイムを99999に設定すると、実際にはパスワードエージングをオフにします。より賢明な設定は通常60日です - パスワードは2ヶ月ごとに変更されます。 PASS_MIN_DAYSパラメータは、次にパスワードが変更されたときにパスワードを変更するのに必要な最小日数を設定します。 PASS_WARN_AGEの設定は、パスワードの有効期限が切れる何日前にユーザーにパスワードの変更を通知するかを示します（通常、ユーザーがシステムにログインすると警告通知を受け取ります）。 /etc /default /useraddファイルを編集して、INACTIVEおよびEXPIREというキーワードを見つけることもできます。INACTIVE = 14 EXPIRE =パスワードが期限切れになってからパスワードが変更されていない場合は、アカウントを無効な状態に変更します。 。この場合、この期間は14日です。 EXPIRE設定は、すべての新規ユーザーが期限切れになるまでのクリア時間を設定するために使用されます（形式は「年月日」です）。明らかに、これらの設定の変更は新しく作成されたユーザーにのみ影響を及ぼします。既存のユーザー固有の設定を変更するには、chageツールを使用する必要があります。 ＃chage -M 60 joeこのコマンドは、ユーザーjoeのPASS_MAX_DAYSを60に設定し、対応するシャドウファイルを変更します。 -mオプションを使用してPASS_MIN_DAYSを設定し、-Wを使用してPASS_WARN_AGEを設定するなどして、chage -lオプションを使用して現在のアカウントの有効期間を一覧表示できます。変更ツールを使用すると、特定のアカウントのすべてのパスワードの有効期限を変更できます。 chageはローカルシステム上のアカウントに対してのみ機能することに注意してくださいあなたがLDAPのような認証システムを使用している場合、ツールは失敗するでしょう。認証にLDAPを使用していてchageを使用する予定の場合は、ユーザーのパスワードのタイムスタンプを一覧表示しようとしているだけでも、chageはまったく機能しないことがわかります。パスワードを変更しなければならない期間を定義してそれを実施する戦略を策定するのは良い習慣です。従業員を解雇した後、パスワードエージングポリシーにより、従業員が3か月間解雇された後も自分のパスワードがまだ使用可能であることがわからないことが確実になります。システム管理者が自分のアカウントの削除を無視しても、パスワードエージングポリシーによりアカウントは自動的にロックされます。もちろん、これは従業員のアカウントを期限内に削除できなかったことを正当化するものではありませんが、特に過去に見過ごされていた場合は特に、この戦略によってセキュリティがさらに強化されます。