Kullanıcıları Linux'ta Parolalarını Değiştirmeye Zorlama
Yayınlanan: 2022-01-29
Şifreler, hesap güvenliğinin temel taşıdır. Linux ağınızda parolaları nasıl sıfırlayacağınızı, parola son kullanma sürelerini nasıl belirleyeceğinizi ve parola değişikliklerini nasıl uygulayacağınızı göstereceğiz.
Parola Yaklaşık 60 Yıldır Ortalıkta
Şifrenin ilk kullanılmaya başladığı 1960'ların ortalarından beri, olduğumuzu söylediğimiz kişi olduğumuzu bilgisayarlara kanıtlıyoruz. Buluşun anası gereklilik olan Massachusetts Institute of Technology'de geliştirilen Uyumlu Zaman Paylaşımlı Sistem, sistemdeki farklı kişileri tanımlamanın bir yoluna ihtiyaç duyuyordu. Ayrıca insanların birbirlerinin dosyalarını görmelerini engellemesi gerekiyordu.
Fernando J. Corbato, her kişiye benzersiz bir kullanıcı adı tahsis eden bir plan önerdi. Birinin söylediği kişi olduğunu kanıtlamak için hesaplarına erişmek için özel, kişisel bir şifre kullanmaları gerekiyordu.
Parolalarla ilgili sorun, tıpkı bir anahtar gibi işlev görmeleridir. Anahtarı olan herkes kullanabilir. Birisi şifrenizi bulursa, tahmin ederse veya hesaplarsa, o kişi hesabınıza erişebilir. Çok faktörlü kimlik doğrulama evrensel olarak kullanılabilene kadar, yetkisiz kişileri (siber güvenlik açısından tehdit aktörleri) sisteminizden uzak tutan tek şey paroladır.
Secure Shell (SSH) tarafından yapılan uzak bağlantılar, parolalar yerine SSH anahtarlarını kullanacak şekilde yapılandırılabilir ve bu harika. Ancak, bu yalnızca bir bağlantı yöntemidir ve yerel oturum açmaları kapsamaz.
Açıkça, parolaların yönetimi ve bu parolaları kullanan kişilerin yönetimi hayati önem taşımaktadır.
İLGİLİ: Linux Kabuğundan SSH Anahtarları Nasıl Oluşturulur ve Yüklenir
Bir Parolanın Anatomisi
Zaten bir şifreyi iyi yapan nedir? İyi bir şifre aşağıdaki özelliklerin tümüne sahip olmalıdır:
- Tahmin etmek veya anlamak imkansız.
- Başka hiçbir yerde kullanmadın.
- Bir veri ihlaline karışmamıştır.
Have I Been Pwned (HIBP) web sitesi, 10 milyardan fazla ihlal edilmiş kimlik bilgisi seti içerir. Bu kadar yüksek rakamlarla, başka birinin sizinle aynı şifreyi kullanmış olma ihtimali vardır. Bu, ihlal edilen hesabınız olmasa bile şifrenizin veritabanında olabileceği anlamına gelir.
Parolanız HIBP web sitesindeyse, bu, tehdit aktörlerinin bir hesabı kırmaya çalışırken kullandıkları kaba kuvvet ve sözlük saldırı araçlarının parola listelerinde olduğu anlamına gelir.
Gerçekten rastgele bir parola (4HW@HpJDBr%*Wt@#b~aP gibi) pratikte yenilmezdir, ancak elbette bunu asla hatırlamazsınız. Çevrimiçi hesaplar için bir parola yöneticisi kullanmanızı önemle tavsiye ederiz. Tüm çevrimiçi hesaplarınız için karmaşık, rastgele parolalar oluştururlar ve bunları hatırlamanız gerekmez; parola yöneticisi sizin için doğru parolayı sağlar.
Yerel hesaplar için her kişinin kendi şifresini oluşturması gerekir. Ayrıca, kabul edilebilir bir parolanın ne olduğunu ve ne olmadığını da bilmeleri gerekir. Şifreleri başka hesaplarda tekrar kullanmamaları söylenmelidir, vb.
Bu bilgiler genellikle bir kuruluşun Parola Politikasında bulunur. İnsanlara minimum sayıda karakter kullanmaları, büyük ve küçük harfleri karıştırmaları, semboller ve noktalama işaretleri eklemeleri vb. konusunda talimat verir.
Ancak, Carnegie Mellon Üniversitesi'ndeki bir ekibin hazırladığı yepyeni bir makaleye göre, tüm bu hileler bir parolanın sağlamlığına çok az şey katıyor ya da hiçbir şey katmıyor. Araştırmacılar, parola sağlamlığı için iki temel faktörün, parolaların en az 12 karakter uzunluğunda ve yeterince güçlü olması olduğunu buldu. Bir dizi yazılım kırma programı, istatistiksel teknikler ve sinir ağları kullanarak parola gücünü ölçtüler.
12 karakterlik bir minimum ilk başta göz korkutucu gelebilir. Ancak, bir parola olarak düşünmeyin, bunun yerine noktalama işaretleriyle ayrılmış üç veya dört alakasız sözcükten oluşan bir parola düşünün.
Örneğin, Experte Password Checker, "chicago99"u kırmanın 42 dakika süreceğini, ancak "chimney.purple.bag"i kırmanın 400 milyar yıl süreceğini söyledi. Ayrıca hatırlaması ve yazması kolaydır ve yalnızca 18 karakter içerir.
İLGİLİ: Neden Parola Yöneticisi Kullanmalısınız ve Nasıl Başlanır?
Mevcut Ayarları İnceleme
Bir kişinin şifresiyle ilgili herhangi bir şeyi değiştirmeye başlamadan önce, mevcut ayarlarına bir göz atmak akıllıca olur. passwd komutu ile -S (status) seçeneği ile mevcut ayarlarını inceleyebilirsiniz. Başka birinin parola ayarlarıyla çalışıyorsanız, sudo passwd ile kullanmanız gerekeceğini de unutmayın.
Aşağıdakileri yazıyoruz:
sudo passwd -S mary
Aşağıda gösterildiği gibi, terminal penceresine tek bir bilgi satırı yazdırılır.
Bu kısa yanıtta aşağıdaki bilgileri (soldan sağa) görüyorsunuz:
- Kişinin oturum açma adı.
- Aşağıdaki üç olası göstergeden biri burada görünür:
- P: Hesabın geçerli, çalışan bir parolası olduğunu gösterir.
- L: Hesabın, kök hesabın sahibi tarafından kilitlendiği anlamına gelir.
- NP: Bir parola belirlenmedi.
- Şifrenin en son değiştirildiği tarih.
- Minimum parola yaşı: Hesap sahibi tarafından gerçekleştirilen parola sıfırlama işlemleri arasında geçmesi gereken minimum süre (gün olarak). Ancak kök hesabın sahibi her zaman herhangi birinin şifresini değiştirebilir. Bu değer 0 (sıfır) ise şifre değiştirme sıklığında bir kısıtlama yoktur.
- Maksimum şifre yaşı: Bu yaşa ulaştığında hesap sahibinden şifresini değiştirmesi istenir. Bu değer gün olarak verilir, dolayısıyla 99,999 değeri parolanın hiçbir zaman sona ermediği anlamına gelir.
- Parola değişikliği uyarı süresi: Bir maksimum parola yaşı uygulanırsa, hesap sahibine parolasını değiştirmesi için hatırlatıcılar gönderilir. Bunlardan ilki, sıfırlama tarihinden önce burada gösterilen gün sayısı kadar gönderilecektir.
- Parolanın hareketsizlik süresi: Parola sıfırlama son tarihini aşan bir süre boyunca sisteme giriş yapılmaması durumunda bu kişinin parolası değiştirilmez. Bu değer, yetkisiz kullanım süresinin bir parola sona erme tarihinden sonra kaç gün olduğunu gösterir. Bir parolanın süresi dolduktan sonra hesap bu gün kadar etkin değilse, hesap kilitlenir. -1 değeri, yetkisiz kullanım süresini devre dışı bırakır.
Maksimum Parola Yaşı Belirleme
Parola sıfırlama süresi belirlemek için -x (maksimum gün) seçeneğini gün sayısı ile birlikte kullanabilirsiniz. -x ile rakamlar arasında boşluk bırakmazsınız, bu nedenle aşağıdaki gibi yazarsınız:
sudo passwd -x45 mary
Aşağıda gösterildiği gibi, sona erme değerinin değiştirildiği söylendi.
Değerin şimdi 45 olduğunu kontrol etmek için -S (durum) seçeneğini kullanın:
sudo passwd -S mary
Şimdi 45 gün içinde bu hesap için yeni bir şifre belirlenmesi gerekiyor. Hatırlatmalar bundan yedi gün önce başlayacak. Zamanında yeni bir şifre belirlenmezse, bu hesap hemen kilitlenecektir.
Anında Parola Değişikliğini Zorlama
Ayrıca, ağınızdaki diğer kişilerin bir sonraki oturum açışlarında parolalarını değiştirmek zorunda kalmaları için bir komut da kullanabilirsiniz. Bunu yapmak için aşağıdaki gibi -e (sona erme) seçeneğini kullanırsınız:
sudo passwd -e mary
Daha sonra bize parola süre sonu bilgilerinin değiştiği söylendi.
-S seçeneği ile kontrol edelim ve ne olduğunu görelim:
sudo passwd -S mary
Son şifre değiştirme tarihi 1970'in ilk günü olarak ayarlanmıştır. Bu kişi bir sonraki giriş denemesinde şifresini değiştirmek zorunda kalacaktır. Ayrıca yeni bir şifre yazabilmeleri için mevcut şifrelerini de sağlamaları gerekir.
Parola Değişikliklerini Zorlamalısınız?
Eskiden insanları şifrelerini değiştirmeye zorlamak sağduyuydu. Çoğu kurulum için rutin güvenlik adımlarından biriydi ve iyi bir iş uygulaması olarak kabul edildi.
Şimdiki düşünce tam tersi. Birleşik Krallık'ta Ulusal Siber Güvenlik Merkezi, düzenli parola yenilemelerinin zorunlu kılınmaması konusunda şiddetle tavsiyede bulunur ve ABD'deki Ulusal Standartlar ve Teknoloji Enstitüsü de aynı fikirdedir. Her iki kuruluş da, yalnızca mevcut bir parolanın başkaları tarafından bilindiğini biliyorsanız veya bundan şüpheleniyorsanız bir parola değişikliğini zorunlu tutmanızı önerir.
İnsanları parolalarını değiştirmeye zorlamak monotonlaşır ve zayıf parolaları teşvik eder. İnsanlar genellikle üzerine bir tarih veya başka bir numara etiketlenmiş bir temel parolayı yeniden kullanmaya başlar. Ya da onları çok sık değiştirmek zorunda oldukları için bir yere not edecekler, hatırlayamıyorlar.
Yukarıda bahsettiğimiz iki kuruluş, şifre güvenliği için aşağıdaki yönergeleri önermektedir:
- Bir şifre yöneticisi kullanın: Hem çevrimiçi hem de yerel hesaplar için.
- İki faktörlü kimlik doğrulamayı açın: Bu bir seçenek olduğunda kullanın.
- Güçlü bir parola kullanın: Parola yöneticisiyle çalışmayan hesaplar için mükemmel bir alternatif. Noktalama işaretleri veya simgelerle ayrılmış üç veya daha fazla sözcük, izlenmesi gereken iyi bir şablondur.
- Bir parolayı asla yeniden kullanmayın: Başka bir hesap için kullandığınız parolanın aynısını kullanmaktan kaçının ve Pwned'da listelenen parolaları kesinlikle kullanmayın.
Yukarıdaki ipuçları, hesaplarınıza erişmek için güvenli bir yol oluşturmanıza olanak tanır. Bu yönergeleri yerine getirdikten sonra, bunlara bağlı kalın. Güçlü ve güvenliyse şifrenizi neden değiştiresiniz? Yanlış ellere geçerse -ya da olduğundan şüpheleniyorsanız- değiştirebilirsiniz.
Ancak bazen bu karar sizin elinizde değildir. Parolayı zorlayan yetkiler değişirse fazla bir seçeneğiniz kalmaz. Davanızı savunabilir ve konumunuzu bildirebilirsiniz, ancak patron siz değilseniz, şirket politikasına uymanız gerekir.
İLGİLİ: Parolalarınızı Düzenli Olarak Değiştirmeli misiniz?
değiştirme Komutanlığı
Şifre eskitme ile ilgili ayarları değiştirmek için chage komutunu kullanabilirsiniz. Bu komut, adını "yaşlanmayı değiştir" den alır. Parola oluşturma öğelerinin kaldırıldığı passwd komutu gibidir.
-l (liste) seçeneği, passwd -S komutuyla aynı bilgileri, ancak daha kolay bir şekilde sunar.
Aşağıdakileri yazıyoruz:
sudo chage -l eric
Bir başka zarif dokunuş, -E (sona erme) seçeneğini kullanarak bir hesap son kullanma tarihi ayarlayabilmenizdir. 30 Kasım 2020'de bir sona erme tarihi belirlemek için (yıl-ay-tarih biçiminde) bir tarih ileteceğiz. Bu tarihte hesap kilitlenecektir.
Aşağıdakileri yazıyoruz:
sudo chage eric -E 2020-11-30
Ardından, bu değişikliğin yapıldığından emin olmak için aşağıdakileri yazıyoruz:
sudo chage -l eric
Hesap son kullanma tarihinin “asla”dan 30 Kasım 2020'ye değiştiğini görüyoruz.
Bir parola geçerlilik süresi belirlemek için -M (maksimum gün) seçeneğini ve parolanın değiştirilmeden önce kullanılabileceği maksimum gün sayısını kullanabilirsiniz.
Aşağıdakileri yazıyoruz:
sudo chage -M 45 mary
Komutumuzun etkisini görmek için -l (liste) seçeneğini kullanarak şunu yazıyoruz:
sudo chage -l mary
Şifre son kullanma tarihi, bizim belirlediğimiz tarihten itibaren 45 gün olarak ayarlanmıştır ve bu, gösterildiği gibi, 8 Aralık 2020 olacaktır.
Bir Ağdaki Herkes İçin Parola Değişiklikleri Yapmak
Hesaplar oluşturulduğunda, parolalar için bir dizi varsayılan değer kullanılır. Minimum, maksimum ve uyarı günleri için varsayılanların ne olduğunu tanımlayabilirsiniz. Bunlar daha sonra “/etc/login.defs” adlı bir dosyada tutulur.
Bu dosyayı gedit açmak için aşağıdakini yazabilirsiniz:
sudo gedit /etc/login.defs
Parola eskitme kontrollerine gidin.
Bunları gereksinimlerinize uyacak şekilde düzenleyebilir, değişikliklerinizi kaydedebilir ve ardından düzenleyiciyi kapatabilirsiniz. Bir sonraki kullanıcı hesabı oluşturduğunuzda, bu varsayılan değerler uygulanacaktır.
Mevcut kullanıcı hesapları için tüm parola son kullanma tarihlerini değiştirmek istiyorsanız, bunu bir komut dosyasıyla kolayca yapabilirsiniz. gedit düzenleyicisini açmak ve “password-date.sh” adlı bir dosya oluşturmak için aşağıdakini yazmanız yeterlidir:
sudo gedit şifre-tarih.sh
Ardından, aşağıdaki metni düzenleyicinize kopyalayın, dosyayı kaydedin ve ardından gedit kapatın:
#!/bin/bash reset_days=28 $(ls /home) içindeki kullanıcı adı için yapmak sudo chage $kullanıcı adı -M $reset_days echo $kullanıcı adı parolasının geçerlilik süresi $reset_days olarak değiştirildi tamamlamak
Bu, her kullanıcı hesabı için maksimum gün sayısını ve dolayısıyla parola sıfırlama sıklığını 28 olarak değiştirecektir. reset_days değişkeninin değerini uygun şekilde ayarlayabilirsiniz.
İlk olarak, betiğimizi çalıştırılabilir hale getirmek için aşağıdakileri yazıyoruz:
chmod +x şifre-tarih.sh
Şimdi betiğimizi çalıştırmak için aşağıdakileri yazabiliriz:
sudo ./password-date.sh
Her hesap daha sonra aşağıda gösterildiği gibi işlenir.
“Mary” hesabını kontrol etmek için aşağıdakileri yazıyoruz:
sudo değişikliği -l mary
Maksimum gün değeri 28 olarak ayarlandı ve bize bunun 21 Kasım 2020'ye denk geleceği söylendi. Ayrıca betiği kolayca değiştirebilir ve daha fazla chage veya passwd komutu ekleyebilirsiniz.
Parola yönetimi ciddiye alınması gereken bir şeydir. Artık kontrolü ele almak için ihtiyacınız olan araçlara sahipsiniz.