Поиск по сайту:

Как изменить пароли учетных записей в Linux


Пароли были краеугольным камнем безопасности учетных записей в течение 60 лет, предшествовавших Unix почти на десятилетие. Узнайте, как использовать командную строку или среду рабочего стола GNOME для управления паролями в Linux.

Как выбрать надежный пароль

Компьютерный пароль родился из необходимости. С появлением многопользовательских компьютерных систем с разделением времени важность разделения и защиты данных людей стала очевидной, и пароль решил эту проблему.

Пароли по-прежнему являются наиболее распространенной формой аутентификации учетной записи. Двухфакторная и многофакторная аутентификация усиливает защиту паролем, а биометрическая аутентификация предоставляет альтернативный метод идентификации. Однако старый добрый пароль все еще с нами и будет еще долго. Это означает, что вам нужно знать, как лучше их создавать и использовать. Некоторые из старых методов больше не действуют.

Вот несколько основных правил пароля:

  • Не используйте пароли вообще: вместо этого используйте кодовые фразы. Три или четыре не связанных между собой слова, соединенных знаками препинания, символами или цифрами, значительно усложняют взлом, чем набор абракадабры или пароль, в котором гласные заменены цифрами.
  • Не используйте пароли повторно. Не делайте этого в одной или разных системах.
  • Не сообщайте свои пароли: пароли являются конфиденциальными. Не делитесь ими с другими.
  • Не основывайте пароли на важной личной информации. Не используйте имена членов семьи, спортивные команды, любимые группы или что-либо еще, что может быть получено с помощью социальной инженерии или выведено из ваших социальных сетей.
  • Не используйте шаблоны паролей. Не основывайте пароли на шаблонах или позициях ключей, таких как qwerty, 1q2w3e и т. д.

Политики истечения срока действия паролей больше не являются лучшей практикой. Если вы примете надежные и безопасные парольные фразы, вам придется менять их только в том случае, если вы подозреваете, что они были скомпрометированы. Регулярная непреднамеренная смена пароля способствует неправильному выбору пароля, потому что многие люди используют базовый пароль и просто добавляют дату или цифру в конце.

Национальный институт стандартов и технологий много писал о паролях, идентификации и аутентификации пользователей. Их комментарии общедоступны в Специальной публикации 800-63-3: Руководство по цифровой аутентификации.

Файл пароля

Исторически Unix-подобные операционные системы хранили пароли вместе с другой информацией о каждой учетной записи в файле «/etc/passwd». Сегодня файл «/etc/passwd» по-прежнему содержит информацию об учетной записи, но зашифрованные пароли хранятся в файле «/etc/shadow», доступ к которому ограничен. Напротив, любой может просмотреть файл «/etc/passwd».

Чтобы заглянуть внутрь файла «/etc/passwd», введите следующую команду:

less /etc/passwd

Отображается содержимое файла. Давайте посмотрим на детали этой учетной записи под названием «Мэри».

Каждая строка представляет одну учетную запись (или программу, имеющую учетную запись «пользователя»). Имеются следующие семь полей, разделенных двоеточием:

  • Имя пользователя: имя для входа в учетную запись.
  • Пароль: «x» означает, что пароль хранится в файле /etc/shadow.
  • Идентификатор пользователя: идентификатор пользователя для этой учетной записи.
  • Идентификатор группы: идентификатор группы для этой учетной записи.
  • GECOS: это расшифровывается как General Electric Comprehensive Operating Supervisor. Сегодня поле GECOS содержит набор разделенных запятыми данных об учетной записи. Это может включать такие элементы, как полное имя человека, номер комнаты или номера рабочего и домашнего телефонов.
  • Домашняя страница: путь к домашнему каталогу учетной записи.
  • Shell: запускается, когда пользователь входит в систему.

Пустые поля представлены двоеточием.

Между прочим, команда finger извлекает информацию из поля GECOS.

finger mary

Файл теней

Чтобы заглянуть внутрь файла «/etc/shadow», вы должны использовать sudo:

sudo less /etc/shadow

Файл отображается. Для каждой записи в файле «/etc/passwd» должна быть соответствующая запись в файле «/etc/shadow».

Каждая строка представляет одну учетную запись, и есть девять полей, разделенных двоеточием:

  • Имя пользователя: имя для входа в аккаунт.
  • Зашифрованный пароль: зашифрованный пароль для учетной записи.
  • Последнее изменение: дата последнего изменения пароля.
  • Минимальное количество дней: минимальное количество дней между изменениями пароля. Человек должен ждать это количество дней, прежде чем он сможет изменить свой пароль. Если это поле содержит ноль, он может менять свой пароль столько раз, сколько пожелает.
  • Максимальное количество дней: максимальное количество дней между изменениями пароля. Как правило, это поле содержит очень большое число. Значение, установленное для «mary», составляет 99 999 дней, то есть более 27 лет.
  • Дней оповещения: количество дней до истечения срока действия пароля, за которое отображается напоминание.
  • Сбросить блокировку: после истечения срока действия пароля система выжидает указанное количество дней (льготный период), прежде чем отключит учетную запись.
  • Дата окончания действия учетной записи: дата, когда владелец учетной записи больше не сможет войти в систему. Если это поле не заполнено, срок действия учетной записи никогда не истечет.
  • Резервное поле: пустое поле для возможного использования в будущем.

Пустые поля представлены двоеточием.

Получение поля «Последнее изменение» в виде даты

Эпоха Unix началась 1 января 1970 года. Значение поля Последнее изменение – 18 209. Это количество дней после того, как 1 января 1970 года пароль от учетной записи «mary» был изменен.

Используйте эту команду, чтобы увидеть значение «Последнее изменение» в виде даты:

date -d "1970-01-01 18209 days"

Дата отображается как полночь дня последнего изменения пароля. В данном примере это было 9 ноября 2019 года.

Команда passwd

Вы используете команду passwd, чтобы изменить свой пароль и, если у вас есть привилегии sudo, пароли других пользователей.

Чтобы изменить пароль, используйте команду passwd без параметров:

passwd

Вы должны ввести свой текущий пароль и новый дважды.

Изменение чужого пароля

Чтобы изменить пароль другой учетной записи, вы должны использовать sudo и указать имя учетной записи:

sudo passwd mary

Вы должны ввести свой пароль, чтобы подтвердить, что у вас есть права суперпользователя. Введите новый пароль для учетной записи, а затем введите его еще раз для подтверждения.

Принудительная смена пароля

Чтобы заставить кого-то изменить свой пароль при следующем входе в систему, используйте параметр -e (срок действия):

sudo passwd -e mary

Вам сообщают, что дата истечения срока действия пароля была изменена.

Когда владелец учетной записи «mary» в следующий раз войдет в систему, ей придется изменить свой пароль:

Заблокировать учетную запись

Чтобы заблокировать учетную запись, введите passwd с параметром -l (блокировка):

sudo passwd -l mary

Вам сообщают, что дата истечения срока действия пароля была изменена.

Владелец учетной записи больше не сможет войти в компьютер со своим паролем. Чтобы разблокировать учетную запись, используйте параметр -u (разблокировать):

sudo passwd -u mary

Опять же, вам сообщают, что данные об истечении срока действия пароля были изменены:

Опять же, владелец аккаунта больше не сможет войти в компьютер со своим паролем. Однако она по-прежнему может войти в систему, используя метод аутентификации, не требующий ее пароля, например ключи SSH.

Если вы действительно хотите заблокировать доступ кого-либо к компьютеру, вам необходимо истечь срок действия аккаунта.

Команда смены

Нет, в chage нет буквы «n». Это означает «изменить возраст». Вы можете использовать команду chage, чтобы установить срок действия для всей учетной записи.

Давайте посмотрим на текущие настройки для учетной записи «mary» с опцией -l (список):

sudo chage -l mary

Срок действия учетной записи установлен на «никогда».

Чтобы изменить срок действия, используйте параметр -E (expiry). Если вы установите его равным нулю, это интерпретируется как «ноль дней от эпохи Unix», то есть 1 января 1970 года.

Введите следующее:

sudo chage -E0 mary

Перепроверьте срок действия учетной записи:

sudo chage -l mary

Поскольку срок действия истек, эта учетная запись теперь действительно заблокирована, независимо от того, какой метод проверки подлинности может использовать владелец.

Чтобы восстановить учетную запись, используйте ту же команду с -1 в качестве числового параметра:

sudo chage -E -1 mary

Введите следующее, чтобы перепроверить:

sudo chage -l mary

Дата истечения срока действия учетной записи сбрасывается на «никогда».

Изменение пароля учетной записи в GNOME

Ubuntu и многие другие дистрибутивы Linux используют GNOME в качестве среды рабочего стола по умолчанию. Вы можете использовать диалоговое окно «Настройки», чтобы изменить пароль для учетной записи.

Для этого в системном меню нажмите значок «Настройки».

В диалоговом окне «Настройки» нажмите «Подробности» на панели слева, а затем нажмите «Пользователи».

Нажмите на учетную запись, для которой вы хотите изменить пароль; в этом примере мы выберем «Мэри Куинн». Нажмите на учетную запись, а затем нажмите «Разблокировать».

Вам будет предложено ввести пароль. После того, как вы пройдете аутентификацию, данные «Мэри» станут доступными для редактирования. Щелкните поле «Пароль».

В диалоговом окне «Изменить пароль» нажмите переключатель «Установить пароль сейчас».

Введите новый пароль в поля «Новый пароль» и «Подтвердите новый пароль».

Если введенные пароли совпадают, кнопка «Изменить» становится зеленой; щелкните по нему, чтобы сохранить новый пароль.

В других средах рабочего стола инструменты учетной записи будут аналогичны инструментам GNOME.

Оставайтесь в безопасности, оставайтесь в безопасности

В течение 60 лет пароль был неотъемлемой частью безопасности онлайн-аккаунта, и в ближайшее время он не исчезнет.

Вот почему важно управлять ими с умом. Если вы понимаете механизмы паролей в Linux и применяете лучшие методы работы с паролями, вы обеспечите безопасность своей системы.

RELATED: Best Linux Laptops for Developers and Enthusiasts