Hasła były podstawą bezpieczeństwa kont od 60 lat, wyprzedzając Uniksa o prawie dekadę. Dowiedz się, jak używać wiersza poleceń lub środowiska graficznego GNOME do zarządzania hasłami w systemie Linux.
Spis treści:
Jak wybrać silne hasło
Hasło do komputera zrodziło się z konieczności. Z nadejściem systemy komputerowe z podziałem czasu dla wielu użytkowników, znaczenie oddzielania i ochrony danych ludzi stało się oczywiste, a hasło rozwiązało ten problem.
Hasła są nadal najpopularniejszą formą uwierzytelniania konta. Dwuskładnikowe i wieloczynnikowe uwierzytelnianie zwiększa ochronę hasłem, a uwierzytelnianie biometryczne zapewnia alternatywną metodę identyfikacji. Jednak stare, dobre hasło wciąż jest z nami i będzie jeszcze przez długi czas. Oznacza to, że musisz wiedzieć, jak najlepiej je tworzyć i używać. Niektóre starsze praktyki są już nieaktualne.
Oto kilka podstawowych zasad dotyczących haseł:
W ogóle nie używaj haseł: zamiast tego używaj haseł. Trzy lub cztery niepowiązane ze sobą słowa połączone interpunkcją, symbolami lub liczbami sprawiają, że trudniej jest je złamać niż ciąg gobbledygook lub hasło z samogłoskami zamienionymi na cyfry.
Nie używaj ponownie haseł: nie rób tego w tym samym lub w różnych systemach.
Nie udostępniaj swoich haseł: hasła są prywatne. Nie udostępniaj ich innym.
Nie opieraj haseł na istotnych osobiście informacjach: nie używaj nazwisk członków rodziny, nazw drużyn sportowych, ulubionych zespołów ani niczego innego, co można uzyskać społecznie lub wywnioskować z mediów społecznościowych.
Nie używaj wzorców haseł: nie opieraj haseł na wzorcach lub pozycjach kluczy, takich jak qwerty, 1q2w3e itd.
Zasady wygasania haseł nie są już najlepszymi praktykami. Jeśli zastosujesz silne, bezpieczne hasła, będziesz musiał je zmienić tylko wtedy, gdy podejrzewasz, że zostały naruszone. Regularne zmiany haseł nieumyślnie sprzyjają złym wyborom haseł, ponieważ wiele osób używa hasła podstawowego i po prostu dodaje datę lub cyfrę na jego końcu.
Plik Narodowy Instytut Standardów i Technologii pisał obszernie na temat haseł oraz identyfikacji i uwierzytelniania użytkowników. Ich komentarze są publicznie dostępne w Publikacja specjalna 800-63-3: Wytyczne dotyczące uwierzytelniania cyfrowego.
Plik passwd
Historycznie rzecz biorąc, systemy operacyjne typu Unix przechowywały hasła, wraz z innymi informacjami dotyczącymi każdego konta, w pliku „/ etc / passwd”. Obecnie plik „/ etc / passwd” nadal zawiera informacje o koncie, ale zaszyfrowane hasła są przechowywane w pliku „/ etc / shadow”, do którego dostęp jest ograniczony. Z drugiej strony, każdy może zajrzeć do pliku „/ etc / passwd”.
Aby zajrzeć do pliku „/ etc / passwd”, wpisz następujące polecenie:
less /etc/passwd
Zostanie wyświetlona zawartość pliku. Przyjrzyjmy się szczegółom tego konta o nazwie „Mary”.
Każdy wiersz reprezentuje jedno konto (lub program, który ma konto „użytkownika”). Istnieje siedem pól rozdzielonych dwukropkami:
Nazwa użytkownika: nazwa logowania do konta.
Hasło: „x” oznacza, że hasło jest przechowywane w pliku / etc / shadow.
Identyfikator użytkownika: identyfikator użytkownika dla tego konta.
Identyfikator grupy: identyfikator grupy dla tego konta.
GECOS: To oznacza General Electric Kompleksowy Nadzorca Operacyjny. Dziś Pole GECOS zawiera zestaw rozdzielonych przecinkami informacji o koncie. Może to obejmować takie elementy, jak imię i nazwisko osoby, numer pokoju lub numery telefonów do biura i domu.
Strona główna: ścieżka do katalogu domowego konta.
Powłoka: uruchamiana, gdy osoba loguje się do komputera.
Puste pola są reprezentowane przez dwukropek.
Nawiasem mówiąc, polecenie finger pobiera informacje z pola GECOS.
finger mary
Plik cienia
Aby zajrzeć do pliku „/ etc / shadow”, musisz użyć sudo:
sudo less /etc/shadow
Plik zostanie wyświetlony. Dla każdego wpisu w pliku „/ etc / passwd” powinien znajdować się pasujący wpis w pliku „/ etc / shadow”.
Każdy wiersz reprezentuje jedno konto i jest dziewięć pól rozdzielanych dwukropkami:
Nazwa użytkownika: nazwa logowania do konta.
Zaszyfrowane hasło: zaszyfrowane hasło do konta.
Ostatnia zmiana: data ostatniej zmiany hasła.
Minimalne dni: minimalna liczba dni wymagana między zmianami hasła. Osoba musi odczekać określoną liczbę dni, zanim będzie mogła zmienić swoje hasło. Jeśli to pole zawiera zero, może zmieniać hasło tak często, jak chce.
Maksymalna liczba dni: maksymalna liczba dni wymaganych między zmianami hasła. Zwykle to pole zawiera bardzo dużą liczbę. Wartość ustawiona dla „mary” to 99 999 dni, czyli ponad 27 lat.
Dni alertu: Liczba dni przed datą wygaśnięcia hasła, na które ma być wyświetlany komunikat przypominający.
Zresetuj blokadę: po wygaśnięciu hasła system czeka przez określoną liczbę dni (okres karencji), zanim wyłączy konto.
Data wygaśnięcia konta: data, w której właściciel konta nie będzie już mógł się zalogować. Jeśli to pole jest puste, konto nigdy nie wygasa.
Pole rezerwowe: puste pole do ewentualnego wykorzystania w przyszłości.
Puste pola są reprezentowane przez dwukropek.
Pobieranie pola „Ostatnia zmiana” jako daty
Plik Epoka uniksowa rozpoczęto 1 stycznia 1970 r. Wartość w polu „Ostatnia zmiana” to 18 209. Jest to liczba dni po 1 stycznia 1970 roku, kiedy zostało zmienione hasło do konta „mary”.
Użyj tego polecenia, aby wyświetlić wartość „Ostatnia zmiana” jako datę:
date -d "1970-01-01 18209 days"
Data jest wyświetlana jako północ w dniu ostatniej zmiany hasła. W tym przykładzie był to 9 listopada 2019 r.
Polecenie passwd
Używasz polecenia passwd zmienić swoje hasło, i – jeśli masz uprawnienia sudo – hasła innych osób.
Aby zmienić hasło, użyj polecenia passwd bez parametrów:
passwd
Musisz dwukrotnie wpisać swoje aktualne hasło i nowe.
Zmiana hasła innej osoby
Aby zmienić hasło do innego konta, musisz użyć sudo i podać nazwę konta:
sudo passwd mary
Musisz wpisać swoje hasło, aby potwierdzić, że masz uprawnienia superużytkownika. Wpisz nowe hasło do konta, a następnie wpisz je ponownie, aby potwierdzić.
Wymuszanie zmiany hasła
Aby zmusić kogoś do zmiany hasła przy następnym logowaniu, użyj opcji -e (expire):
sudo passwd -e mary
Poinformowano Cię, że data ważności hasła została zmieniona.
Kiedy właściciel konta „mary” zaloguje się ponownie, będzie musiał zmienić swoje hasło:
Zablokuj konto
Aby zablokować konto, wpisz passwd z opcją -l (lock):
sudo passwd -l mary
Poinformowano Cię, że data ważności hasła została zmieniona.
Właściciel konta nie będzie już mógł logować się do komputera za pomocą swojego hasła. Aby odblokować konto, użyj opcji -u (odblokuj):
sudo passwd -u mary
Ponownie otrzymujesz informację, że dane dotyczące wygaśnięcia hasła zostały zmienione:
Właściciel konta nie będzie już mógł zalogować się do komputera za pomocą swojego hasła. Jednak nadal mogła się zalogować przy użyciu metody uwierzytelniania, która nie wymaga jej hasła, na przykład kluczy SSH.
Jeśli naprawdę chcesz zablokować komuś dostęp do komputera, musisz wygasnąć konto.
Polecenie chage
Nie, nie ma zamiany „n”. To oznacza „zmianę wieku”. Możesz użyć polecenia chage, aby ustawić plik data wygaśnięcia całego konta.
Przyjrzyjmy się bieżącym ustawieniom konta „mary” z opcją -l (lista):
sudo chage -l mary
Data wygaśnięcia konta jest ustawiona na „nigdy”.
Aby zmienić datę wygaśnięcia, użyj opcji -E (wygaśnięcie). Jeśli ustawisz ją na zero, zostanie to zinterpretowane jako „zero dni od epoki Uniksa”, tj. 1 stycznia 1970.
Wpisz następujące informacje:
sudo chage -E0 mary
Sprawdź ponownie datę wygaśnięcia konta:
sudo chage -l mary
Ponieważ data wygaśnięcia już minęła, to konto jest teraz naprawdę zablokowane, niezależnie od metody uwierzytelniania, której może użyć właściciel.
Aby przywrócić konto, użyj tego samego polecenia z wartością -1 jako parametrem liczbowym:
sudo chage -E -1 mary
Wpisz następujące informacje, aby sprawdzić ponownie:
sudo chage -l mary
Data wygaśnięcia konta jest resetowana do „nigdy”.
Zmiana hasła do konta w GNOME
Ubuntu i wiele innych dystrybucji Linuksa używa GNOME jako domyślnego środowiska graficznego. Możesz użyć okna dialogowego „Ustawienia”, aby zmienić hasło do konta.
Aby to zrobić, w menu systemowym kliknij ikonę Ustawienia.
W oknie dialogowym Ustawienia kliknij „Szczegóły” w panelu po lewej stronie, a następnie kliknij „Użytkownicy”.
Kliknij konto, dla którego chcesz zmienić hasło; w tym przykładzie wybierzemy „Mary Quinn”. Kliknij konto, a następnie kliknij „Odblokuj”.
Zostaniesz poproszony o podanie hasła. Po uwierzytelnieniu szczegóły „Marii” będą dostępne do edycji. Kliknij pole „Hasło”.
W oknie dialogowym „Zmień hasło” kliknij przycisk opcji „Ustaw hasło teraz”.
Wpisz nowe hasło w polach „Nowe hasło” i „Potwierdź nowe hasło”.
Jeśli wpisy hasła są zgodne, przycisk „Zmień” zmienia kolor na zielony; kliknij, aby zapisać nowe hasło.
W innych środowiskach graficznych narzędzia konta będą podobne do tych w GNOME.
Bądź bezpieczny, bądź bezpieczny
Od 60 lat hasło jest istotną częścią bezpieczeństwa konta online i nie zniknie w najbliższym czasie.
Dlatego ważne jest, aby mądrze nimi zarządzać. Jeśli rozumiesz mechanizmy haseł w systemie Linux i zastosujesz najlepsze praktyki dotyczące haseł, zapewnisz bezpieczeństwo swojego systemu.