Tra le mie passioni ho indicato l’informatica, ma fino ad ora non ho scritto ancora nulla in merito, almeno non sui sistemi Linux RedHat e CentOS che ad oggi seguo sia professionalmente che per passione personale.
Cercherò di scrivere sempre ad un livello di conoscenza professionale basandomi sulle conoscenze acquisite nella gestione di server Linux amministrati fino ad oggi e di riportare dall’esperienza le casistiche incontrate oltre che la mera trattazione degli argomenti come fanno i manuali.
Spero che questo intento sia sempre apprezzato e soddisfi le aspettative di chi legge i miei appunti.
Iniziamo subito con la trattazione dell’Hardering Linux ed in particolare “come impostare la scadenza della password per gli utenti locali”.
Consiglio di leggere prima l’ottima guida in merito: Linux Password Policy
La guida è divisa in 2 parti, la prima riguarda le impostazioni da settare nei file di configurazione (/etc/login.defs e /etc/default/useradd) e sono relative a impostazioni che il sistema preimposterà in automatico per tutti i nuovi utenti che creeremo.
La seconda parte si riferisce al comando /usr/bin/chage che ha il preciso scopo di poter mostrare e modificare le policy di scadenza delle password per gli utenti locali già presenti sul sistema prima della modifica dei file di configurazione visti sopra.
In definitiva eseguendo entrambe le pratiche indicate potremo impostare:
PASS_MAX_DAYS: Numero di giorni per cui la password è valida ed è utilizzabile (solitamente 30)
PASS_MIN_DAYS: Numero minimo di giorni prima che un utente possa cambiare la propria password (non si imposta)
PASS_MIN_LEN: Lunghezza minima di una nuova password (solitamente una password non deve essere inferiore agli 8 caratteri)
PASS_WARN_AGE: Numero di giorni antecedenti alla scadenza della password in cui il sistema deve avvisare l’utente (è a discrezione dell’amministratore in funzione della frequenza con cui ciascun utente accede al server, se ad esempio un utente accede quotidianamente al server il valore 1 o 2 potrebbe essere sufficente, se un altro utente accede settimanalmente al server allora il valore dovrà essere superiore a 7; in generale il mio suggerimento è di non esagerare trovandosi a cambiare la password e già dal login successivo trovarsi continui avvisi)
INACTIVE: il tempo che deve intercorrere tra la scadenza di una password (EXPIRE) e la definitiva dichiarazione di utente inattivo, ossia disabilitato in modo automatico (questa policy risulta molto utile quando si amministrano molti sistemi e su ciascuno gli utenti che possano accedervi potrebbero cambiare, istruiamo Linux ad automanutenersi, e possaimo organizzare una attività di monitor e definitiva cancellazione dell’account con cadenza predefinita senza incorrere nel riscio di lasciare l’accesso abilitato a personale non più in azienda ).
EXPIRE: indica il numero di giorni trascorsi i quali una utenza scade definitivamente.
Per esperienza tutti questi valori vanno impostati ragionando sulla frequenza di accesso degli utenti ai server, e delle reali necessità di controllo necessarie, in particolare in alcune realtà potrebbe essere necessario non eliminare mai l’utente per poterne conservare i dati di accesso, le autorizzazioni o i dati da esso prodotti.
Nel prossimo articolo analizzeremo il comando /usr/bin/chage necessario per gli utenti già creati fino ad oggi sul tuo server Linux.
1 ping
[…] la prima operazione da compiere è applicare le policy viste nell’articolo precedente per evitare che d’ora in poi nuovi utenti assumano policy […]