Après l'installation du système, la plupart des distributions Linux® ont des règles assouplies concernant la fréquence à laquelle vous devez changer votre mot de passe ou la durée d'attente avant de pouvoir le changer à nouveau. Cet article fournit des directives pour modifier les règles de stratégie de mot de passe afin de renforcer la sécurité des mots de passe.
Définir des politiques pour les futurs nouveaux comptes d'utilisateurs
Les serveurs cloud stockent les politiques de mot de passe pour les nouveaux comptes d'utilisateurs dans /etc/login.defs fichier de configuration. Ce fichier contient quelques options utiles :
PASS_MAX_DAYS:nombre maximum de jours pendant lesquels vous pouvez utiliser un mot de passe.PASS_MIN_DAYS:Nombre minimum de jours autorisés entre les changements de mot de passe.PASS_MIN_LEN:Longueur minimale acceptable du mot de passe.PASS_WARN_AGE:Nombre de jours avant qu'un mot de passe n'expire pour donner un avertissement.
Par défaut, Cloud Servers définit ces options sur les valeurs suivantes :
PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7
Ces paramètres vous permettent de conserver votre mot de passe presque toujours, de le modifier autant de fois que vous le souhaitez et de définir une limite de longueur minimale pour le mot de passe lui-même.
L'exemple suivant montre des règles de stratégie de mot de passe qui sont plus sécurisées que les paramètres par défaut :
PASS_MAX_DAYS 60 PASS_MIN_DAYS 5 PASS_MIN_LEN 8 PASS_WARN_AGE 7
Ces nouvelles règles s'appliquent à tous les comptes nouvellement créés. Les mots de passe de ces comptes doivent comporter 8 caractères et ne durer que 60 jours, et les utilisateurs ne peuvent pas les modifier pendant 5 jours, à compter du jour où ils ont défini le mot de passe. Les utilisateurs reçoivent également un avertissement 7 jours avant l'expiration du mot de passe.
Définition des politiques pour les comptes d'utilisateurs existants
Modifications dans /etc/login.defs file s'applique uniquement aux comptes créés par les utilisateurs après la mise en œuvre des modifications ; ils ne s'appliquent pas aux comptes qui existent déjà.
Vous pouvez cependant modifier les mêmes paramètres sur les comptes existants en utilisant le chage commande. Par exemple :
chage <options> <username>
Vous pouvez également exécuter chage avec seulement un nom d'utilisateur, et il ouvre un mode interactif pour vous permettre d'ajuster les paramètres de la politique de mot de passe.
La syntaxe de cette commande est la suivante :
chage <username>- Exécute la commande en mode interactif.chage -l <username>- Répertorie les paramètres d'expiration actuels du compte.chage -d <username>- Oblige l'utilisateur à changer son mot de passe lors de sa prochaine connexion.chage <options> <username>- Définit les paramètres spécifiés pour le compte.
Vous pouvez utiliser les options suivantes avec le chage commande :
-M- Âge maximal du mot de passe en jours.-m- Âge minimum du mot de passe en jours. Une valeur de 0 signifie qu'aucun âge minimum n'est requis.-W- Période d'avertissement du mot de passe en jours, une valeur de 0 signifie qu'il n'y a pas de période d'avertissement.-I- Période d'inactivité du mot de passe en jours, qui correspond au nombre de jours comptés à partir de la date d'expiration du mot de passe, pendant lesquels vous pouvez encore vous connecter et modifier votre mot de passe. Après la fin de cette période de grâce, le compte est inaccessible.-E- Date d'expiration du compte. Vous pouvez spécifier la date dans de nombreux formats, y compris l'époque. Cependant, les formats conviviaux tels que "31 décembre 2014" fonctionnent