Passord har vært en nøkkelstein for kontosikkerhet i 60 år, og har gått før Unix med nesten et tiår. Lær hvordan du bruker enten kommandolinjen eller GNOME-skrivebordsmiljøet for å administrere passordene dine i Linux.
Innholdsfortegnelse
Hvordan velge et sterkt passord
Datapassordet ble født av nødvendighet. Med ankomsten av flerbruker tidsdelingsdatasystemerble viktigheten av å skille og beskytte folks data tydelig, og passordet løste det problemet.
Passord er fortsatt den vanligste formen for kontoautentisering. To-faktor og multifaktor autentisering forbedrer passordbeskyttelsen, og biometrisk autentisering gir en alternativ metode for identifikasjon. Det gode gamle passordet er imidlertid fortsatt med oss og vil være det i lang tid fremover. Dette betyr at du må vite hvordan du best kan lage og bruke dem. Noen av de eldre praksisene er ikke lenger gyldige.
Her er noen grunnleggende passordregler:
Ikke bruk passord i det hele tatt: Bruk passordfraser i stedet. Tre eller fire urelaterte ord forbundet med tegnsetting, symboler eller tall gjør det mye vanskeligere å knekke enn en streng med gobbledygook eller et passord med vokaler byttet ut med tall.
Ikke bruk passord på nytt: Ikke gjør dette på samme eller forskjellige systemer.
Ikke del passordene dine: Passord er private. Ikke del dem med andre.
Ikke baser passord på personlig viktig informasjon: Ikke bruk familiemedlemmers navn, idrettslag, favorittband eller noe annet som kan være sosialt utviklet eller utledet fra sosiale medier.
Ikke bruk mønsterpassord: Ikke baser passord på mønstre eller nøkkelposisjoner, for eksempel qwerty, 1q2w3e og så videre.
Utløpsretningslinjer for passord er ikke lenger beste praksis. Hvis du bruker sterke, sikre passordfraser, trenger du bare å endre dem hvis du mistenker at de har blitt kompromittert. Vanlige passordendringer fremmer utilsiktet dårlige passordvalg fordi mange bruker et grunnleggende passord og bare legger til en dato eller et siffer på slutten av det.
De Nasjonalt institutt for standarder og teknologi har skrevet mye om passord og brukeridentifikasjon og autentisering. Kommentarene deres er offentlig tilgjengelige i Spesialpublikasjon 800-63-3: Retningslinjer for digital autentisering.
Passwd-filen
Historisk har Unix-lignende operativsystemer lagret passord, sammen med annen informasjon om hver konto, i filen «/etc/passwd». I dag inneholder «/etc/passwd»-filen fortsatt kontoinformasjon, men de krypterte passordene holdes i filen «/etc/shadow», som har begrenset tilgang. Derimot kan hvem som helst se på filen «/etc/passwd».
For å se inn i «/etc/passwd»-filen, skriv inn denne kommandoen:
less /etc/passwd
Innholdet i filen vises. La oss se på detaljene for denne kontoen kalt «marie».
Hver linje representerer en enkelt konto (eller et program som har en «bruker»-konto). Det er følgende syv kolonseparerte felt:
Brukernavn: Påloggingsnavnet for kontoen.
Passord: En «x» indikerer at passordet er lagret i filen /etc/shadow.
Bruker-ID: The brukeridentifikator For denne kontoen.
Gruppe-ID: Den gruppeidentifikator For denne kontoen.
GECOS: Dette står for General Electric Comprehensive Operating Supervisor. I dag er GECOS-feltet har et sett med kommadelt informasjon om en konto. Dette kan inkludere elementer som en persons fulle navn, romnummer eller kontor- og hjemmetelefonnumre.
Hjem: Banen til kontoens hjemmekatalog.
Shell: Startet når personen logger på datamaskinen.
Tomme felt er representert med et kolon.
Forresten henter fingerkommandoen sin informasjon fra GECOS-feltet.
finger mary
Skyggefilen
For å se inn i «/etc/shadow»-filen, må du bruke sudo:
sudo less /etc/shadow
Filen vises. For hver oppføring i filen «/etc/passwd», bør det være en tilsvarende oppføring i filen «/etc/shadow».
Hver linje representerer en enkelt konto, og det er ni kolonseparerte felt:
Brukernavn: Påloggingsnavnet for kontoen.
Kryptert passord: Det krypterte passordet for kontoen.
Siste endring: Datoen da passordet sist ble endret.
Minimumsdager: Minimum antall dager som kreves mellom passordendringer. Personen må vente dette antallet dager før han kan endre passordet sitt. Hvis dette feltet inneholder en null, kan han endre passordet så ofte han vil.
Maksimalt antall dager: Maksimalt antall dager som kreves mellom passordendringer. Vanligvis inneholder dette feltet et veldig stort antall. Verdien satt for «mari» er 99 999 dager, som er over 27 år.
Varseldager: Antall dager før utløpsdatoen for et passord for å vise en påminnelsesmelding.
Tilbakestill låsing: Etter at et passord utløper, venter systemet dette antallet dager (en utsettelsesperiode) før det deaktiverer kontoen.
Kontoens utløpsdato: Datoen som eieren av kontoen ikke lenger vil kunne logge på. Hvis dette feltet er tomt, utløper aldri kontoen.
Reservefelt: Et tomt felt for mulig fremtidig bruk.
Tomme felt er representert med et kolon.
Få feltet «Siste endring» som en dato
De Unix-epoke startet 1. januar 1970. Verdien for «Siste endring»-feltet er 18.209. Dette er antall dager etter 1. januar 1970, passordet for kontoen «mary» ble endret.
Bruk denne kommandoen for å se «Siste endring»-verdien som en dato:
date -d "1970-01-01 18209 days"
Datoen vises som midnatt den dagen passordet sist ble endret. I dette eksemplet var det 9. november 2019.
Passwd-kommandoen
Du bruker passwd-kommandoen for å endre passordet ditt, og – hvis du har sudo-rettigheter – andres passord.
For å endre passordet ditt, bruk passwd-kommandoen uten parametere:
passwd
Du må skrive inn ditt nåværende passord og ditt nye to ganger.
Endre noen andres passord
For å endre passordet til en annen konto, må du bruke sudo og oppgi navnet på kontoen:
sudo passwd mary
Du må skrive inn passordet ditt for å bekrefte at du har superbrukerrettigheter. Skriv inn det nye passordet for kontoen, og skriv det igjen for å bekrefte.
Tvinge en passordendring
For å tvinge noen til å endre passordet hennes neste gang hun logger på, bruk alternativet -e (utløp):
sudo passwd -e mary
Du blir fortalt at passordets utløpsdato er endret.
Når eieren av kontoen «mary» logger på neste gang, må hun endre passordet sitt:
Lås en konto
For å låse en konto, skriv passwd med alternativet -l (lås):
sudo passwd -l mary
Du ble fortalt at passordets utløpsdato ble endret.
Eieren av kontoen vil ikke lenger kunne logge på datamaskinen med passordet sitt. For å låse opp kontoen, bruk alternativet -u (lås opp):
sudo passwd -u mary
Igjen får du beskjed om at passordets utløpsdata ble endret:
Igjen, eieren av kontoen vil ikke lenger kunne logge på datamaskinen med passordet hennes. Hun kunne imidlertid fortsatt logge på med en autentiseringsmetode som ikke krever passordet hennes, for eksempel SSH-nøkler.
Hvis du virkelig vil låse noen ute fra datamaskinen, må du utløpe kontoen.
Chage Command
Nei, det er ikke en «n» i endring. Det står for «bytt alder». Du kan bruke chage-kommandoen til å angi en utløpsdato for en hel konto.
La oss ta en titt på gjeldende innstillinger for «mary»-kontoen, med alternativet -l (liste):
sudo chage -l mary
Utløpsdatoen for kontoen er satt til «aldri».
For å endre utløpsdatoen, bruk alternativet -E (utløp). Hvis du setter den til null, tolkes dette som «null dager fra Unix-epoken», dvs. 1. januar 1970.
Skriv inn følgende:
sudo chage -E0 mary
Sjekk utløpsdatoen for kontoen på nytt:
sudo chage -l mary
Fordi utløpsdatoen er i fortiden, er denne kontoen nå virkelig låst, uavhengig av hvilken som helst autentiseringsmetode eieren kan bruke.
For å gjenopprette kontoen, bruk samme kommando med -1 som den numeriske parameteren:
sudo chage -E -1 mary
Skriv inn følgende for å dobbeltsjekke:
sudo chage -l mary
Kontoens utløpsdato er tilbakestilt til «aldri».
Endre et kontopassord i GNOME
Ubuntu og mange andre Linux-distribusjoner bruker GNOME som standard skrivebordsmiljø. Du kan bruke «Innstillinger»-dialogen for å endre passordet for en konto.
For å gjøre det, klikk på Innstillinger-ikonet i systemmenyen.
I dialogboksen Innstillinger klikker du på «Detaljer» i ruten til venstre, og klikker deretter på «Brukere».
Klikk på kontoen du vil endre passordet for; i dette eksemplet velger vi «Mary Quinn». Klikk på kontoen, og klikk deretter på «Lås opp.»
Du blir bedt om passordet ditt. Etter at du er autentisert, kan «Marys»-detaljene bli redigerbare. Klikk på «Passord»-feltet.
I dialogboksen «Endre passord» klikker du på alternativknappen «Angi et passord nå».
Skriv inn det nye passordet i feltene «Nytt passord» og «Bekreft nytt passord».
Hvis passordoppføringene samsvarer, blir «Endre»-knappen grønn; klikk på den for å lagre det nye passordet.
I andre skrivebordsmiljøer vil kontoverktøyene være lik de i GNOME.
Hold deg trygg, vær sikker
I 60 år har passordet vært en viktig del av online kontosikkerhet, og det forsvinner ikke med det første.
Det er derfor det er viktig å administrere dem klokt. Hvis du forstår mekanismene til passord i Linux og bruker de beste passordpraksisene, vil du holde systemet ditt sikkert.