Adgangskoder har været en hjørnesten i kontosikkerhed i 60 år, der er gået før Unix med næsten et årti. Lær, hvordan du bruger enten kommandolinjen eller GNOME-skrivebordsmiljøet til at administrere dine adgangskoder i Linux.
Indholdsfortegnelse
Sådan vælger du en stærk adgangskode
Computerens adgangskode blev født af nødvendighed. Med fremkomsten af flerbruger tidsdelingscomputersystemer, blev vigtigheden af at adskille og beskytte folks data tydelig, og adgangskoden løste det problem.
Adgangskoder er stadig den mest almindelige form for kontogodkendelse. To-faktor og multifaktor autentificering forbedrer adgangskodebeskyttelse, og biometrisk autentificering giver en alternativ metode til identifikation. Det gode gamle kodeord er dog stadig med os og vil være det i lang tid fremover. Det betyder, at du skal vide, hvordan du bedst opretter og bruger dem. Nogle af de ældre praksisser er ikke længere gyldige.
Her er nogle grundlæggende adgangskoderegler:
Brug slet ikke adgangskoder: Brug adgangssætninger i stedet for. Tre eller fire ikke-relaterede ord forbundet med tegnsætning, symboler eller tal gør det meget sværere at knække end en streng gobbledygook eller et kodeord med vokaler skiftet ud med tal.
Genbrug ikke adgangskoder: Gør ikke dette på samme eller forskellige systemer.
Del ikke dine adgangskoder: Adgangskoder er private. Del dem ikke med andre.
Baser ikke adgangskoder på personligt vigtige oplysninger: Brug ikke familiemedlemmers navne, sportshold, yndlingsbands eller andet, der kan være socialt udviklet eller udledt fra dine sociale medier.
Brug ikke mønsteradgangskoder: Baser ikke adgangskoder på mønstre eller nøglepositioner, såsom qwerty, 1q2w3e og så videre.
Politikker for udløb af adgangskode er ikke længere bedste praksis. Hvis du bruger stærke, sikre adgangssætninger, skal du kun ændre dem, hvis du har mistanke om, at de er blevet kompromitteret. Regelmæssige ændringer af adgangskoden fremmer utilsigtet dårlige adgangskodevalg, fordi mange mennesker bruger en basisadgangskode og blot tilføjer en dato eller et ciffer til slutningen af det.
Det National Institute of Standards and Technology har skrevet meget om adgangskoder og brugeridentifikation og autentificering. Deres kommentarer er offentligt tilgængelige i Specialpublikation 800-63-3: Digital Authentication Guidelines.
Passwd-filen
Historisk har Unix-lignende operativsystemer gemt adgangskoder sammen med andre oplysninger om hver konto i filen “/etc/passwd”. I dag indeholder filen “/etc/passwd” stadig kontooplysninger, men de krypterede adgangskoder opbevares i filen “/etc/shadow”, som har begrænset adgang. I modsætning hertil kan enhver se på filen “/etc/passwd”.
For at kigge ind i filen “/etc/passwd” skal du skrive denne kommando:
less /etc/passwd
Indholdet af filen vises. Lad os se på detaljerne for denne konto kaldet “mary”.
Hver linje repræsenterer en enkelt konto (eller et program, der har en “bruger”-konto). Der er følgende syv kolon-afgrænsede felter:
Brugernavn: Loginnavnet til kontoen.
Adgangskode: Et “x” angiver, at adgangskoden er gemt i filen /etc/shadow.
Bruger-id: Den bruger-id For denne konto.
Gruppe-id: Den gruppe-id For denne konto.
GECOS: Dette står for General Electric Comprehensive Operating Supervisor. I dag er GECOS-feltet indeholder et sæt kommaseparerede oplysninger om en konto. Dette kan omfatte elementer som en persons fulde navn, værelsesnummer eller kontor- og hjemmetelefonnumre.
Hjem: Stien til kontoens hjemmemappe.
Shell: Startede, når personen logger ind på computeren.
Tomme felter er repræsenteret med et kolon.
Fingerkommandoen trækker i øvrigt sine oplysninger fra GECOS-feltet.
finger mary
Skyggefilen
For at se inde i filen “/etc/shadow” skal du bruge sudo:
sudo less /etc/shadow
Filen vises. For hver post i “/etc/passwd”-filen, skal der være en matchende post i “/etc/shadow”-filen.
Hver linje repræsenterer en enkelt konto, og der er ni kolon-separerede felter:
Brugernavn: Loginnavnet til kontoen.
Krypteret adgangskode: Den krypterede adgangskode til kontoen.
Sidste ændring: Den dato, hvor adgangskoden sidst blev ændret.
Minimumdage: Det mindste antal dage, der kræves mellem adgangskodeændringer. Personen skal vente dette antal dage, før han kan ændre sin adgangskode. Hvis dette felt indeholder et nul, kan han ændre sin adgangskode så ofte han vil.
Maximum Days: Det maksimale antal dage, der kræves mellem adgangskodeændringer. Typisk indeholder dette felt et meget stort antal. Værdien sat for “marie” er 99.999 dage, hvilket er over 27 år.
Advarselsdage: Antallet af dage før en adgangskodeudløbsdato for at vise en påmindelsesmeddelelse.
Nulstil spærring: Når en adgangskode udløber, venter systemet dette antal dage (en henstandsperiode), før det deaktiverer kontoen.
Kontoens udløbsdato: Den dato, hvor ejeren af kontoen ikke længere vil kunne logge på. Hvis dette felt er tomt, udløber kontoen aldrig.
Reservefelt: Et tomt felt til mulig fremtidig brug.
Tomme felter er repræsenteret med et kolon.
Få feltet “Sidste ændring” som en dato
Det Unix epoke startede den 1. januar 1970. Værdien for feltet “Sidste ændring” er 18.209. Dette er antallet af dage efter 1. januar 1970, blev adgangskoden til kontoen “mary” ændret.
Brug denne kommando til at se “Sidste ændring”-værdien som en dato:
date -d "1970-01-01 18209 days"
Datoen vises som midnat den dag, hvor adgangskoden sidst blev ændret. I dette eksempel var det den 9. november 2019.
Passwd-kommandoen
Du bruger kommandoen passwd for at ændre din adgangskode, og – hvis du har sudo-rettigheder – andres adgangskoder.
For at ændre din adgangskode skal du bruge kommandoen passwd uden parametre:
passwd
Du skal indtaste din nuværende adgangskode og din nye to gange.
Ændring af en andens adgangskode
For at ændre adgangskoden til en anden konto, skal du bruge sudo og angive navnet på kontoen:
sudo passwd mary
Du skal indtaste din adgangskode for at bekræfte, at du har superbrugerrettigheder. Indtast den nye adgangskode til kontoen, og skriv den derefter igen for at bekræfte.
Tvinge en adgangskodeændring
For at tvinge nogen til at ændre sin adgangskode, næste gang hun logger ind, skal du bruge -e (udløber):
sudo passwd -e mary
Du får at vide, at adgangskodens udløbsdato er blevet ændret.
Når ejeren af kontoen “mary” næste gang logger på, bliver hun nødt til at ændre sin adgangskode:
Lås en konto
For at låse en konto skal du skrive passwd med muligheden -l (lås):
sudo passwd -l mary
Du får at vide, at adgangskodens udløbsdato blev ændret.
Ejeren af kontoen vil ikke længere være i stand til at logge ind på computeren med sin adgangskode. For at låse kontoen op, brug -u (lås op):
sudo passwd -u mary
Igen er du informeret om, at adgangskodens udløbsdata blev ændret:
Igen vil ejeren af kontoen ikke længere være i stand til at logge ind på computeren med sin adgangskode. Hun kunne dog stadig logge ind med en godkendelsesmetode, der ikke kræver hendes adgangskode, såsom SSH-nøgler.
Hvis du virkelig vil låse nogen ude af computeren, skal du udløbe kontoen.
Chage Kommandoen
Nej, der er ikke et “n” på vej. Det står for “skift alder”. Du kan bruge chage-kommandoen til at indstille en udløbsdato for en hel konto.
Lad os tage et kig på de aktuelle indstillinger for “mary”-kontoen med -l (liste) mulighed:
sudo chage -l mary
Udløbsdatoen for kontoen er sat til “aldrig”.
Brug muligheden -E (udløbsdato) for at ændre udløbsdatoen. Hvis du sætter den til nul, tolkes dette som “nul dage fra Unix-epoken”, dvs. 1. januar 1970.
Indtast følgende:
sudo chage -E0 mary
Tjek kontoens udløbsdato igen:
sudo chage -l mary
Fordi udløbsdatoen ligger i fortiden, er denne konto nu virkelig låst, uanset hvilken godkendelsesmetode ejeren måtte bruge.
For at genoprette kontoen skal du bruge den samme kommando med -1 som den numeriske parameter:
sudo chage -E -1 mary
Indtast følgende for at dobbelttjekke:
sudo chage -l mary
Kontoens udløbsdato nulstilles til “aldrig”.
Ændring af en kontoadgangskode i GNOME
Ubuntu og mange andre Linux-distributioner bruger GNOME som standard skrivebordsmiljø. Du kan bruge dialogboksen “Indstillinger” til at ændre adgangskoden til en konto.
For at gøre det skal du klikke på ikonet Indstillinger i systemmenuen.
I dialogboksen Indstillinger skal du klikke på “Detaljer” i ruden til venstre og derefter klikke på “Brugere”.
Klik på den konto, som du vil ændre adgangskoden til; i dette eksempel vælger vi “Mary Quinn”. Klik på kontoen, og klik derefter på “Lås op”.
Du bliver bedt om din adgangskode. Når du er blevet godkendt, kan “Marys” detaljer redigeres. Klik på feltet “Adgangskode”.
I dialogboksen “Skift adgangskode” skal du klikke på alternativknappen “Indstil en adgangskode nu”.
Indtast den nye adgangskode i felterne “Ny adgangskode” og “Bekræft ny adgangskode”.
Hvis adgangskodeindtastningerne stemmer overens, bliver “Skift”-knappen grøn; klik på den for at gemme den nye adgangskode.
I andre skrivebordsmiljøer vil kontoværktøjerne ligne dem i GNOME.
Forbliv sikker, forbliv sikker
I 60 år har adgangskoden været en væsentlig del af online kontosikkerhed, og den forsvinder ikke lige foreløbig.
Derfor er det vigtigt at administrere dem klogt. Hvis du forstår mekanismerne for adgangskoder i Linux og anvender den bedste adgangskodepraksis, vil du holde dit system sikkert.