Паролите са ключов камък за сигурността на акаунта в продължение на 60 години, предшествайки Unix с почти десетилетие. Научете как да използвате или командния ред, или средата на работния плот на GNOME, за да управлявате паролите си в Linux.
Съдържание
Как да изберем силна парола
Паролата за компютър се роди от необходимост. С появата на многопотребителски компютърни системи за споделяне на време, важността на разделянето и защитата на данните на хората стана очевидна и паролата реши този проблем.
Паролите все още са най-често срещаната форма на удостоверяване на акаунта. Двуфакторни и многофакторни удостоверяването подобрява защитата с парола и биометрично удостоверяване предоставя алтернативен метод за идентификация. Добрата стара парола обаче все още е с нас и ще бъде още дълго време. Това означава, че трябва да знаете как най-добре да ги създавате и използвате. Някои от по-старите практики вече не са валидни.
Ето някои основни правила за парола:
Изобщо не използвайте пароли: вместо това използвайте пароли. Три или четири несвързани думи, свързани с препинателни знаци, символи или числа, правят много по-трудно разбиването им от низ от gobbledygook или парола с гласни, заменени с числа.
Не използвайте повторно пароли: Не правете това на една и съща или различни системи.
Не споделяйте паролите си: Паролите са частни. Не ги споделяйте с други.
Не базирайте паролите на лично значима информация: Не използвайте имена на членове на семейството, спортни отбори, любими групи или нещо друго, което може да бъде социално проектирано или изведено от вашите социални медии.
Не използвайте шаблонни пароли: Не базирайте пароли на шаблони или позиции на клавиши, като qwerty, 1q2w3e и т.н.
Правилата за изтичане на паролата вече не са най-добрата практика. Ако приемете силни, сигурни пароли, ще трябва да ги промените само ако подозирате, че са били компрометирани. Редовните промени на паролата по невнимание насърчават лош избор на пароли, защото много хора използват основна парола и просто добавят дата или цифра в края й.
В Национален институт по стандарти и технологии е писал подробно за пароли и потребителска идентификация и удостоверяване. Техните коментари са публично достъпни в Специална публикация 800-63-3: Насоки за цифрово удостоверяване.
Файлът passwd
Исторически, Unix-подобните операционни системи съхраняват пароли, заедно с друга информация относно всеки акаунт, във файла „/etc/passwd“. Днес файлът “/etc/passwd” все още съдържа информация за акаунта, но криптираните пароли се съхраняват във файла “/etc/shadow”, който има ограничен достъп. За разлика от тях, всеки може да разгледа файла „/etc/passwd“.
За да надникнете във файла „/etc/passwd“, въведете тази команда:
less /etc/passwd
Показва се съдържанието на файла. Нека разгледаме подробностите за този акаунт, наречен „мери“.
Всеки ред представлява един акаунт (или програма, която има „потребителски“ акаунт). Има следните седем полета, разделени с двоеточие:
Потребителско име: Името за вход за акаунта.
Парола: „x“ показва, че паролата е запазена във файла /etc/shadow.
Потребителски идентификатор: The потребителски идентификатор за този акаунт.
ID на групата: The групов идентификатор за този акаунт.
GECOS: Това означава Обширен оперативен надзорник на General Electric. Днес, поле GECOS съдържа набор от разделена със запетая информация за акаунт. Това може да включва елементи като пълното име на човек, номер на стая или служебни и домашни телефонни номера.
Начало: Пътят до началната директория на акаунта.
Shell: Стартира, когато лицето влезе в компютъра.
Празните полета са представени с двоеточие.
Между другото, командата finger извлича информацията си от полето GECOS.
finger mary
Файлът в сянка
За да погледнете във файла “/etc/shadow”, трябва да използвате sudo:
sudo less /etc/shadow
Файлът се показва. За всеки запис във файла “/etc/passwd” трябва да има съвпадащ запис във файла “/etc/shadow”.
Всеки ред представлява един акаунт и има девет полета, разделени с двоеточие:
Потребителско име: Името за вход за акаунта.
Шифрована парола: Шифрованата парола за акаунта.
Последна промяна: Датата на последната промяна на паролата.
Минимален брой дни: Минималният брой дни, необходими между промените на паролата. Човекът трябва да изчака този брой дни, преди да може да промени паролата си. Ако това поле съдържа нула, той може да променя паролата си толкова често, колкото пожелае.
Максимален брой дни: максималният брой дни, необходими между промените на паролата. Обикновено това поле съдържа много голям брой. Стойността, зададена за „мери“ е 99 999 дни, което е над 27 години.
Дни на предупреждение: Броят дни преди датата на изтичане на паролата за показване на съобщение за напомняне.
Нулиране на блокиране: След като паролата изтече, системата изчаква този брой дни (гратисен период), преди да деактивира акаунта.
Дата на изтичане на акаунта: Датата, на която собственикът на акаунта вече няма да може да влезе. Ако това поле е празно, акаунтът никога не изтича.
Резервно поле: Празно поле за евентуална бъдеща употреба.
Празните полета са представени с двоеточие.
Получаване на полето „Последна промяна“ като дата
В Unix епоха стартира на 1 януари 1970 г. Стойността на полето “Последна промяна” е 18 209. Това е броят на дните след 1 януари 1970 г., паролата за акаунта “mary” е променена.
Използвайте тази команда, за да видите стойността „Последна промяна“ като дата:
date -d "1970-01-01 18209 days"
Датата се показва като полунощ в деня, когато паролата е била променена за последно. В този пример това беше 9 ноември 2019 г.
Командата passwd
Използвате командата passwd за да промените паролата си, и — ако имате sudo привилегии — паролите на други хора.
За да промените паролата си, използвайте командата passwd без параметри:
passwd
Трябва да въведете текущата си парола и новата си два пъти.
Промяна на чужда парола
За да промените паролата на друг акаунт, трябва да използвате sudo и да предоставите името на акаунта:
sudo passwd mary
Трябва да въведете паролата си, за да потвърдите, че имате права на суперпотребител. Въведете новата парола за акаунта и след това я въведете отново, за да потвърдите.
Принудителна промяна на паролата
За да принудите някой да промени паролата си следващия път, когато влезе, използвайте опцията -e (изтича):
sudo passwd -e mary
Казват ви, че срокът на валидност на паролата е променен.
Когато собственикът на акаунта “mary” следва да влезе, тя ще трябва да промени паролата си:
Заключване на акаунт
За да заключите акаунт, въведете passwd с опцията -l (заключване):
sudo passwd -l mary
Казват ви, че датата на изтичане на паролата е променена.
Собственикът на акаунта вече няма да може да влезе в компютъра с паролата си. За да отключите акаунта, използвайте опцията -u (отключване):
sudo passwd -u mary
Отново ви информираме, че данните за изтичане на паролата са променени:
Отново собственикът на акаунта вече няма да може да влезе в компютъра с паролата си. Въпреки това, тя все още може да влезе с метод за удостоверяване, който не изисква нейната парола, като SSH ключове.
Ако наистина искате да заключите някого от компютъра, трябва да изтеглите акаунта.
Командата chage
Не, няма „n“ в замяна. Това означава „промяна на възрастта“. Можете да използвате командата chage, за да зададете срок на валидност за цял акаунт.
Нека да разгледаме текущите настройки за акаунта „mary“ с опцията -l (списък):
sudo chage -l mary
Датата на изтичане на акаунта е зададена на „никога“.
За да промените датата на изтичане, използвайте опцията -E (изтичане). Ако го зададете на нула, това се тълкува като „нула дни от епохата на Unix“, т.е. 1 януари 1970 г.
Въведете следното:
sudo chage -E0 mary
Проверете отново датата на изтичане на акаунта:
sudo chage -l mary
Тъй като датата на изтичане е в миналото, този акаунт вече е наистина заключен, независимо от метода за удостоверяване, който собственикът може да използва.
За да възстановите акаунта, използвайте същата команда с -1 като числов параметър:
sudo chage -E -1 mary
Въведете следното, за да проверите отново:
sudo chage -l mary
Датата на изтичане на акаунта се нулира на „никога“.
Промяна на парола за акаунт в GNOME
Ubuntu и много други дистрибуции на Linux използват GNOME като среда за работния плот по подразбиране. Можете да използвате диалоговия прозорец „Настройки“, за да промените паролата за акаунт.
За да направите това, в системното меню щракнете върху иконата Настройки.
В диалоговия прозорец Настройки щракнете върху „Подробности“ в панела вляво и след това щракнете върху „Потребители“.
Щракнете върху акаунта, за който искате да промените паролата; в този пример ще изберем „Мери Куин“. Щракнете върху акаунта и след това щракнете върху „Отключване“.
Получавате подкана за вашата парола. След като бъдете удостоверени, данните на „Мери“ стават редактирани. Кликнете върху полето „Парола“.
В диалоговия прозорец „Промяна на паролата“ щракнете върху бутона за избор „Задайте парола сега“.
Въведете новата парола в полетата „Нова парола“ и „Потвърдете нова парола“.
Ако въведените пароли съвпадат, бутонът „Промяна“ става зелен; щракнете върху него, за да запазите новата парола.
В други среди на работния плот инструментите за акаунт ще бъдат подобни на тези в GNOME.
Останете в безопасност, останете в безопасност
В продължение на 60 години паролата е съществена част от сигурността на онлайн акаунта и няма да изчезне скоро.
Ето защо е важно да ги прилагате разумно. Ако разбирате механизмите на паролите в Linux и възприемете най-добрите практики за пароли, ще запазите системата си защитена.