Beberapa dari Anda mungkin bekerja di industri yang sangat diatur, seperti medis, pemerintah, kontraktor pemerintah, dan makanan dan minuman. Anda mungkin memiliki pedoman ketat untuk penuaan kata sandi, perubahan kata sandi reguler, panjang minimum, kompleksitas, dan batas waktu minimum antara perubahan kata sandi. Orang lain dari Anda mungkin menggunakan pedoman yang sama ketatnya hanya karena itu adalah praktik yang baik untuk melakukannya. Artikel ini menjelaskan cara mengaudit akun pengguna dan menetapkan beberapa pedoman seputar kedaluwarsa kata sandi dan frekuensi perubahan. Sebagai contoh, saya menggunakan chage perintah.
[ Anda mungkin juga senang membaca:Menyeimbangkan keamanan Linux dengan kegunaan ]
chage perintah ini digambarkan sendiri sebagai utilitas "ubah informasi kedaluwarsa kata sandi pengguna". Menurut chage halaman manual:
Perintah chage mengubah jumlah hari antara perubahan kata sandi dan tanggal perubahan kata sandi terakhir. Informasi ini digunakan oleh sistem untuk menentukan kapan pengguna harus mengubah kata sandinya.
Mengaudit akun pengguna
Audit akun berkala bukan hanya ide yang bagus tetapi, tergantung pada peraturan kepatuhan industri Anda, itu bisa menjadi persyaratan. Sangat mudah untuk memeriksa persyaratan perubahan kata sandi dengan menggunakan chage memerintah. Ini contohnya:
# chage -l jdoe
Last password change : Apr 20, 2021
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
Seperti yang Anda lihat, mengaudit jdoe akun pengguna menghasilkan audit gagal. Indikator utamanya adalah sandi pengguna tidak pernah kedaluwarsa dan tidak ada jumlah hari minimum atau maksimum antara perubahan sandi. Beberapa peraturan industri mengharuskan kata sandi diubah setiap 45 hari, sementara yang lain mendikte perubahan 90 hari. Dan bisa jadi beberapa perusahaan dan peraturan memerlukan interval perubahan 30 hari.
Kedaluwarsa sandi pengguna
Setiap klien yang saya dukung sejauh ini telah menggunakan kedaluwarsa kata sandi 90 hari dan jumlah hari minimum antara perubahan kata sandi yang disetel menjadi satu. Menyetel jumlah hari minimum antara perubahan sandi membantu mencegah pengguna mengubah sandi berulang kali hingga mereka dapat menyetel ulang sandi sebelumnya, tanpa melewati keamanan sistem. Anda dapat mengatur nomor ini menjadi sesuatu yang lebih besar dari satu. Beberapa perusahaan menetapkan jumlah hari minimum menjadi tujuh.
# chage -m 1 -M 90 jdoe
# chage -l jdoe
Last password change : Apr 20, 2021
Password expires : Jul 19, 2021
Password inactive : never
Account expires : never
Minimum number of days between password change : 1
Maximum number of days between password change : 90
Number of days of warning before password expires : 7
chage perintah kedaluwarsa kata sandi pengguna 90 hari sejak perubahan kata sandi terakhir. Jadi, jika terakhir kali Anda mengubah sandi pada tanggal 15 Januari 2019, sandi Anda akan kedaluwarsa dengan tanggal 15 April 2019. Artinya, jika tanggal kedaluwarsa sudah lewat, Anda akan diminta untuk mengubahnya pada tanggal berikutnya. masuk.
$ ssh [email protected]
[email protected]'s password:
You are required to change your password immediately (password expired)
Activate the web console with: systemctl enable --now cockpit.socket
Last login: Sat Jun 19 10:46:27 2021
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user jdoe.
Current password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
Connection to 192.168.0.99 closed.
Perhatikan bahwa setelah perubahan kata sandi, sistem jarak jauh memutuskan pengguna. Pengguna harus memulai kembali koneksi ke sistem jarak jauh dan masuk dengan kata sandi baru mereka.
Peringatan dan obatnya
Saya telah mendengar banyak argumen pengguna dan sysadmin yang menentang pengaturan jumlah hari minimum antara perubahan kata sandi yang menyatakan bahwa itu mengganggu skrip otomatis. Tanggapan saya selalu, "Jangan gunakan kata sandi untuk skrip otomatis." Alasannya adalah bahwa beberapa pengguna dan sysadmin menulis kata sandi dalam teks biasa ke dalam skrip otomatis tersebut, dan itu adalah hal yang buruk, bahkan jika mereka membatasi izin skrip ke akun pengguna yang menjalankannya.
Solusinya adalah menggunakan pasangan kunci SSH untuk tugas otomatis antar sistem.
[ Memikirkan keamanan? Lihat panduan gratis ini untuk meningkatkan keamanan cloud hybrid dan melindungi bisnis Anda. ]
Menutup
Artikel ini memberikan gambaran singkat tentang penggunaan chage perintah untuk mengaudit dan kedaluwarsa kata sandi pada sistem yang Anda kelola. Jika Anda tidak ingin mengaudit setiap akun satu per satu, saya sarankan Anda membuat skrip untuk memeriksa akun pengguna Anda secara berkala dan menghapus akun yang tidak mematuhi kebijakan keamanan dan persyaratan peraturan Anda.