Паролі були ключовим каменем безпеки облікового запису протягом 60 років, випередивши Unix майже на десять років. Дізнайтеся, як використовувати командний рядок або середовище робочого столу GNOME для керування паролями в Linux.
Як вибрати надійний пароль
Комп’ютерний пароль народився з необхідності. З появою с багатокористувацькі комп’ютерні системи із розподілом часу, важливість розділення та захисту даних людей стала очевидною, і пароль вирішив цю проблему.
Паролі все ще є найпоширенішою формою аутентифікації облікового запису. Двофакторний і багатофакторний аутентифікація покращує захист паролем, і біометрична аутентифікація пропонує альтернативний метод ідентифікації. Однак старий добрий пароль досі з нами і буде ще довго. Це означає, що вам потрібно знати, як найкраще їх створювати та використовувати. Деякі старі практики більше не діють.
Ось деякі основні правила паролів:
Не використовуйте паролі взагалі: замість них використовуйте парольні фрази. Три-чотири непов’язані слова, з’єднані розділовими знаками, символами чи числами, значно складніше розбити, ніж рядок gobbledygook або пароль із голосними, заміненими на числа.
Не використовуйте повторно паролі: не робіть цього в одній або різних системах.
Не розголошуйте свої паролі: паролі приватні. Не діліться ними з іншими.
Не створюйте паролі на основі особистої інформації: не використовуйте імена членів сім’ї, спортивні команди, улюблені гурти чи будь-що інше, що може бути спроектовано або виведено з ваших соціальних мереж.
Не використовуйте шаблони паролів: не створюйте паролі на основі шаблонів або положень клавіш, таких як qwerty, 1q2w3e тощо.
Політика закінчення терміну дії пароля більше не є найкращою практикою. Якщо ви використовуєте надійні, безпечні парольні фрази, вам доведеться змінити їх, лише якщо ви підозрюєте, що вони зламані. Регулярна зміна пароля ненавмисно сприяє неправильному вибору пароля, оскільки багато людей використовують базовий пароль і просто додають дату або цифру в кінець його.
The Національний інститут стандартів і технологій багато писав про паролі та ідентифікацію та аутентифікацію користувачів. Їхні коментарі є загальнодоступними Спеціальна публікація 800-63-3: Рекомендації щодо цифрової аутентифікації.
Файл passwd
Історично Unix-подібні операційні системи зберігали паролі разом з іншою інформацією щодо кожного облікового запису у файлі «/etc/passwd». Сьогодні файл «/etc/passwd» все ще містить інформацію про обліковий запис, але зашифровані паролі зберігаються у файлі «/etc/shadow», доступ до якого обмежений. Навпаки, будь-хто може переглянути файл «/etc/passwd».
Щоб зазирнути усередину файлу «/etc/passwd», введіть цю команду:
less /etc/passwd
Відображається вміст файлу. Давайте розглянемо деталі цього облікового запису під назвою «Марія».
Кожен рядок представляє один обліковий запис (або програму, яка має обліковий запис користувача). Існують наступні сім полів, розділених двокрапкою:
Ім’я користувача: ім’я для входу в обліковий запис.
Пароль: «x» означає, що пароль збережений у файлі /etc/shadow.
Ідентифікатор користувача: The ідентифікатор користувача для цього рахунку.
ID групи: The ідентифікатор групи для цього рахунку.
GECOS: Це означає Генеральний експлуатаційний інспектор. Сьогодні, Поле GECOS містить набір розділених комами інформації про обліковий запис. Це може включати такі елементи, як повне ім’я людини, номер кімнати або номери офісних і домашніх телефонів.
Home: шлях до домашнього каталогу облікового запису.
Shell: запускається, коли людина входить на комп’ютер.
Порожні поля позначаються двокрапкою.
До речі, команда пальця витягує свою інформацію з поля GECOS.
finger mary
Тіньовий файл
Щоб зазирнути усередину файлу «/etc/shadow», ви повинні використовувати sudo:
sudo less /etc/shadow
Відобразиться файл. Для кожного запису у файлі «/etc/passwd» має бути відповідний запис у файлі «/etc/shadow».
Кожен рядок представляє один обліковий запис, і є дев’ять полів, розділених двокрапкою:
Ім’я користувача: ім’я для входу в обліковий запис.
Зашифрований пароль: зашифрований пароль для облікового запису.
Остання зміна: дата останньої зміни пароля.
Мінімальна кількість днів: мінімальна кількість днів, необхідна між змінами пароля. Людина повинна почекати таку кількість днів, перш ніж зможе змінити пароль. Якщо це поле містить нуль, він може змінювати свій пароль так часто, як йому заманеться.
Максимальна кількість днів: максимальна кількість днів, необхідна між змінами пароля. Як правило, це поле містить дуже велику кількість. Значення, встановлене для «мері», становить 99 999 днів, тобто понад 27 років.
Дні сповіщення: кількість днів до закінчення терміну дії пароля для відображення повідомлення-нагадування.
Скидання блокування: після закінчення терміну дії пароля система чекає цю кількість днів (пільговий період), перш ніж вимкнути обліковий запис.
Дата закінчення дії облікового запису: дата, на яку власник облікового запису більше не зможе ввійти. Якщо це поле порожнє, термін дії облікового запису ніколи не закінчується.
Резервне поле: пусте поле для можливого використання в майбутньому.
Порожні поля позначаються двокрапкою.
Отримання поля «Остання зміна» як дати
The Епоха Unix розпочато 1 січня 1970 р. Значення поля «Остання зміна» становить 18 209. Це кількість днів після 1 січня 1970 року, коли був змінений пароль облікового запису «mary».
Використовуйте цю команду, щоб побачити значення «Остання зміна» як дату:
date -d "1970-01-01 18209 days"
Дата відображається опівночі дня, коли пароль був останній змінений. У цьому прикладі це було 9 листопада 2019 року.
Команда passwd
Ви використовуєте команду passwd змінити пароль, і — якщо у вас є привілеї sudo — паролі інших.
Щоб змінити пароль, скористайтеся командою passwd без параметрів:
passwd
Ви повинні двічі ввести поточний пароль і новий.
Зміна чужого пароля
Щоб змінити пароль іншого облікового запису, ви повинні використовувати sudo та вказати ім’я облікового запису:
sudo passwd mary
Ви повинні ввести свій пароль, щоб підтвердити, що у вас є привілеї суперкористувача. Введіть новий пароль для облікового запису, а потім введіть його ще раз для підтвердження.
Примусова зміна пароля
Щоб змусити когось змінити пароль під час наступного входу в систему, скористайтеся параметром -e (expire):
sudo passwd -e mary
Вам повідомляють, що термін дії пароля змінено.
Коли власник облікового запису «mary» наступний раз увійде в систему, їй доведеться змінити свій пароль:
Заблокувати обліковий запис
Щоб заблокувати обліковий запис, введіть passwd з параметром -l (блокування):
sudo passwd -l mary
Вам повідомляють, що термін дії пароля змінено.
Власник облікового запису більше не зможе увійти на комп’ютер за допомогою свого пароля. Щоб розблокувати обліковий запис, використовуйте параметр -u (розблокувати):
sudo passwd -u mary
Знову, вас повідомляють, що дані про закінчення терміну дії пароля було змінено:
Знову ж таки, власник облікового запису більше не зможе увійти в комп’ютер за допомогою свого пароля. Однак вона все ще могла увійти за допомогою методу автентифікації, який не вимагає її пароля, наприклад ключів SSH.
Якщо ви дійсно хочете заблокувати комусь доступ до комп’ютера, вам потрібно завершити термін дії облікового запису.
Команда chage
Ні, у ньому немає букви «n». Це означає «змінити вік». Ви можете використовувати команду chage, щоб встановити термін дії для всього облікового запису.
Давайте подивимося на поточні налаштування облікового запису «mary» з опцією -l (список):
sudo chage -l mary
Термін дії облікового запису встановлений на «ніколи».
Щоб змінити термін придатності, використовуйте параметр -E (термін дії). Якщо встановити його на нуль, це інтерпретується як «нуль днів з епохи Unix», тобто 1 січня 1970 року.
Введіть наступне:
sudo chage -E0 mary
Повторно перевірте термін дії облікового запису:
sudo chage -l mary
Оскільки дата закінчення терміну дії минула, цей обліковий запис тепер дійсно заблоковано, незалежно від будь-якого методу автентифікації, який може використовувати власник.
Щоб відновити обліковий запис, використовуйте ту саму команду з -1 як числовий параметр:
sudo chage -E -1 mary
Для повторної перевірки введіть наступне:
sudo chage -l mary
Термін дії облікового запису скидається на «ніколи».
Зміна пароля облікового запису в GNOME
Ubuntu та багато інших дистрибутивів Linux використовують GNOME як середовище робочого столу за замовчуванням. Ви можете використовувати діалогове вікно «Налаштування», щоб змінити пароль облікового запису.
Для цього в системному меню натисніть значок «Налаштування».
У діалоговому вікні «Налаштування» натисніть «Деталі» на панелі ліворуч, а потім натисніть «Користувачі».
Клацніть обліковий запис, для якого потрібно змінити пароль; у цьому прикладі ми виберемо «Мері Квінн». Натисніть обліковий запис, а потім натисніть «Розблокувати».
Вам буде запропоновано ввести пароль. Після автентифікації дані «Мері» можна буде редагувати. Натисніть поле «Пароль».
У діалоговому вікні «Зміна пароля» натисніть перемикач «Встановити пароль зараз».
Введіть новий пароль у полях «Новий пароль» та «Перевірити новий пароль».
Якщо введені паролі збігаються, кнопка «Змінити» стає зеленою; натисніть його, щоб зберегти новий пароль.
В інших середовищах робочого столу інструменти облікового запису будуть подібними до інструментів у GNOME.
Будьте в безпеці, залишайтеся в безпеці
Протягом 60 років пароль був важливою частиною безпеки облікового запису в Інтернеті, і він не зникне найближчим часом.
Ось чому важливо керувати ними розумно. Якщо ви розумієте механізми паролів у Linux і використовуєте найкращі методи паролів, ви забезпечите безпеку своєї системи.