Desativa a expiração da senha após o usuário alterar a senha (Linux)

Navegue suas respostas
3

Um dos meus servidores de e-mail usa contas do sistema unix para login do usuário. Como não configurei nenhuma política de senhas complexa (nossos usuários, incluindo a equipe de gerenciamento, não gostam de senhas complicadas), uma das contas, que tinha uma senha com uma letra de 6 dicionários, foi hackeada e alguns milhares de spams foram enviados. Então, naturalmente, nosso IP acabou em 3 RBLs. Depois de conversar com a gerência, decidimos que era hora de aumentar os requisitos de complexidade de senha. (mínimo de 8 caracteres, maiúsculas, minúsculas, números, etc)

Agora, aqui está o problema. Como se certificar de que todos os nossos usuários realmente mudam a senha sem ter que verificar os logs, a saída do comando chage, etc? A melhor solução que pude pensar foi definir uma expiração de senha de 10 dias para todos os usuários e enviar um e-mail em massa para todos, informando que, se não alterarem a senha, após 10 dias eles não conseguirão login.

Então comecei a fazer testes, para ver se era uma solução viável e encontrei um problema que deveria ter previsto: Mesmo que eu configurei a expiração da senha para 10 dias (chage -M 10 user), após alterar a senha, a data de validade permaneceu a mesma, em vez de retornar para "never".

Existe alguma maneira de desativar a expiração da senha depois que o usuário alterou sua senha? (Os usuários podem alterar sua senha através da interface do webmail, usando um script baseado no comando chpasswd).

    
por Andy 09.08.2014 / 18:01

1 resposta

4

Eu tentaria combinar as opções chage -M e -d .

-M

Set the maximum number of days during which a password is valid. When MAX_DAYS plus LAST_DAY is less than the current day, the user will be required to change his/her password before being able to use his/her account.

-d

Set the number of days since January 1st, 1970 when the password was last changed. The date may also be expressed in the format YYYY-MM-DD.

Então, com essas opções, decida com que frequência você deseja que suas senhas expirem. Obviamente, você não quer que eles expirem a cada 10 dias, portanto, a opção -M deve ser configurada para um valor mais alto.

Para que seus usuários alterem suas senhas nos próximos 10 dias, defina a opção -d (LAST_DAY) como o valor para que LAST_DAY + MAX_DAYS == TODAY + 10 DAYS .

Esse truque permitirá que você faça a data de expiração da senha se aproximar mais rapidamente. Depois que a senha for alterada, a próxima data de expiração será definida com base no valor especificado com a opção -M .

    
por 09.08.2014 / 18:15

Tags

É possível obter metadados sobre o ambiente do Elastic Beanstalk a partir da instância do EC2 Torna todos os usuários 'confiáveis' no sendmail