Команда chage в Linux

Команда chage в Linux — это утилита командной строки, которая позволяет детально настроить политику устаревания и смены паролей пользователей в Linux. С её помощью можно устанавливать даты последней смены и окончания действия пароля, периоды предупреждения о необходимости смены и блокировки учётной записи после устаревания пароля.

Зачем нужен инструмент управления сроками действия паролей

Эффективное управление сроками действия паролей — это важный аспект безопасности системы. Он позволяет предотвращать злоупотребление старыми или ненадежными паролями, повышая уровень защиты пользовательских учетных записей.

Разберем основные сценарии использования, рассмотрим примеры команд с параметрами, объясним, как читать вывод в различных режимах, и посмотрим рекомендации по настройке оптимальной политики устаревания паролей.

Синтаксис:

Для корректной передачи параметров при настройке политики устаревания паролей пользователей в linux используйте дополнительные параметры. Рассмотрим подробно синтаксис chage.

• -d, —lastday DAYS — Устанавливает количество дней с последней смены пароля, после которых учетная запись пользователя будет заблокирована.
• -E, —expiredate EXPIRE_DATE — Устанавливает дату истечения срока действия учетной записи. Формат даты: ГГГГ-ММ-ДД.
• -I, —inactive INACTIVE — Устанавливает количество дней неактивности после истечения срока действия пароля, при котором учетная запись пользователя будет заблокирована.
• -l, —list — Выводит текущие параметры срока действия пароля для пользователя.
• -m, —mindays MIN_DAYS — Устанавливает минимальное количество дней, которые должны пройти между сменой паролей.
• -M, —maxdays MAX_DAYS — Устанавливает максимальное количество дней, на протяжении которых пароль остается действительным.
• -W, —warndays WARN_DAYS — Устанавливает количество дней, за которое пользователь будет предупрежден о предстоящей смене пароля.
• -h, —help — выводит справку по использованию.

Работа с командой chane должна производится либо от суперпользователя (root) либо от имени пользователя входящего в группу sudo. Исключением из этого правила является опция — -l, —list.

Использование chage без опций

Если запустить команду chage без параметров для конкретного пользователя:

То она запустится в интерактивном режиме для изменения настроек устаревания пароля.

chage поочередно запросит значения для следующих параметров:

1. Минимальный срок действия пароля (Minimum password age)
2. Максимальный срок действия пароля (Maximum password age)
3. Дата последнего изменения пароля (Last password change date)
4. Предупреждение об истечении срока действия пароля (Password expiration warning)
5. Период неактивности после истечения срока действия пароля (Account inactivity period)
6. Дата истечения срока действия учётной записи (Account expiration date)

Для каждого параметра выводится текущее значение в квадратных скобках, можно ввести новое значение или оставить пустым, чтобы сохранить текущее.

Для примера я задал значения для пользователя «vasiliy». Команда:

Таким образом, интерактивный режим позволяет удобно просматривать и менять все настройки устаревания пароля и учётной записи для конкретного пользователя.

Просмотр текущей информации об истечении срока действия пароля

Для просмотра текущей информации об истечении срока действия пароля пользователя используется параметр -l (или —list).

Например:

В выводе этой команды будет показана следующая информация:

• Дата последнего изменения пароля (Last password change)
• Дата, когда нужно будет сменить пароль (Password expires)
• Минимальное число дней между сменой паролей (Password inactive)
• Число дней до предупреждения о необходимости смены пароля (Account expires)

Эти данные позволяют узнать текущие настройки срока действия и политики смены пароля для указанного пользователя.

Команда доступна обычным пользователям для проверки времени до истечения срока действия своего пароля.

Изменение даты истечения срока действия пароля

Для изменения даты истечения срока учетной записи пользователя используется параметр -E  или --expiredate  команды chage.

Чтобы установить новую дату истечения срока действия пароля, нужно выполнить следующие шаги:

1. Определить нужную дату в формате ГГГГ-ММ-ДД. Например, 2023-12-31.
2. Выполнить команду chage с параметром «-E» и указанием даты:

3. Дата будет изменена на указанную. Пользователю придется сменить пароль до наступления этой даты.

Для примера я задам эту дату для пользователя «vasiliy».

Установить срок действия пароля

Чтобы установить срок действия пароля в Linux с помощью команды chage, нужно использовать параметр -M  или --maxdays:

Эта команда устанавливает максимальный срок действия пароля для пользователя в 90 дней.

По истечении 90 дней с момента последней смены пароля, пользователю будет предложено задать новый пароль при входе в систему.

Убрать ограничение на срок действия пароля и учетной записи

Чтобы убрать ограничение на срок действия пароля в Linux, нужно выполнить следующую команду:

Параметр -M в chage отвечает за установку максимального срока действия пароля в днях. Передача значения -1 убирает это ограничение.

После этого пароль пользователя будет действителен неограниченное время и не будет требовать периодической смены.

Аналогичным образом можно убрать дату истечения срока действия учётной записи:

Эта команда снимает ограничение на срок действия самой учётной записи.

Используя отрицательные значения в параметрах chage, можно отменить ограничения на сроки действия паролей и учётных записей.

Предупреждение пользователя до истечения срока действия пароля

Чтобы предупредить пользователя о скором истечении срока действия его пароля в Linux, используется параметр -W  или --warndays  в команде chage.

Например, чтобы установить предупреждение за 7 дней до окончания срока пароля:

При этом за 7 дней до даты истечения срока действия пароля пользователь будет получать предупреждение при входе в систему о необходимости смены пароля.

Предупреждение будет выводиться до тех пор, пока пользователь не сменит пароль на новый.

Для примера я установлю для пользователя «vasiliy» предупреждение о необходимости изменить пароль за 30  дней. Команда:

Если пользователь не сменит пароль в течение отведенного времени после начала вывода предупреждения об истечении срока действия пароля (-W ПРЕДУП_ДНЕЙ), то по истечении не сможет войти в систему:

• Доступ по паролю для этого пользователя будет заблокирован.
• При попытке входа пользователь получит сообщение об ошибке о том, что срок действия пароля истек.
• Для разблокировки учетной записи и установки нового пароля пользователь должен будет обратиться к администратору.
• Администратор сможет разблокировать учетную запись командой passwd, после чего пользователь сможет установить новый пароль.
• До обращения к администратору пользователь не сможет войти в систему под своей учетной записью.

Если проигнорировать предупреждения и не изменить пароль то учетная запись блокируется, чтобы обеспечить своевременную смену пароля.

Что бы убрать предупреждение нужно указать команду:

Применив параметр -W, можно настроить удобное предупреждение пользователей о необходимости смены пароля заблаговременно до истечения его срока действия.

Изменение даты последней смены пароля

Чтобы изменить дату последней смены пароля пользователя, нужно использовать параметр -d  или --lastday  в команде chage:

Где ДАТА — это либо конкретная дата в формате ГГГГ-ММ-ДД, либо количество дней с 1 января 1970 года.

Например, чтобы установить дату последней смены пароля на 15 февраля 2024 года:

Или установить эту дату на текущий день:

Это заставит пользователя сменить пароль при следующем входе в систему. Для примера я сменю для пользователя «vasiliy» дату на сегодня, чтобы в следующий раз при входе он сменил пароль. Команда:

Ограничение на изменение пароля по истечении срока

Чтобы установить ограничение на изменение пароля пользователем после истечения его срока действия, можно использовать параметр -I (i в верхнем регистре) или --inactive  в команде chage:

Где ДНЕЙ_НЕАКТИВНОСТИ — это количество дней, в течение которых пользователь не сможет войти в систему и сменить пароль после истечения срока действия текущего пароля.

Например, чтобы заблокировать учетную запись через 30 дней после истечения срока пароля:

По истечении 30 дней неактивности учетная запись будет заблокирована.

Чтобы снять ограничение, нужно установить значение -1:

С помощью параметра -I можно настроить автоматическую блокировку учетной записи после определенного периода неактивности.

Как получить справку по команде chage

Чтобы получить справку по использованию команды chage в Linux, можно воспользоваться следующими способами:

Ввести в терминале:

Это выведет страницу руководства man для chage с подробным описанием всех доступных параметров и примерами использования.

Ввести в терминале:

Это выведет краткую справку по основным параметрам.

Заключение

Подводя итоги, мы обобщим ключевые моменты и рекомендации по эффективному использованию команды chage в Linux. Управление сроками действия паролей — это неотъемлемая часть стратегии безопасности, и хорошее понимание работы chage делает этот процесс более простым и эффективным.