Один из моих почтовых серверов использует учетные записи системы unix для входа в систему. Поскольку я не устанавливал никаких сложных политик паролей (наши пользователи, в том числе руководство, не любят сложные пароли), одна из учетных записей, у которой был словарный пароль из 6 букв, была взломана, и было отправлено несколько тысяч спама. Итак, естественно, наш IP оказался в 3 RBL. Поговорив с руководством, мы решили, что пора ужесточать требования к сложности пароля. (минимум 8 символов, верхний регистр, нижний регистр, цифры и т. д.)
Теперь вот в чем проблема. Как убедиться, что все наши пользователи действительно меняют пароль без необходимости проверять журналы, вывод команды chage и т. Д.? Лучшее решение, которое я мог придумать, - установить 10-дневный срок действия пароля для всех пользователей, а затем отправить всем массовое электронное письмо с сообщением, что, если они не изменят свой пароль, через 10 дней они не смогут авторизоваться.
Итак, я начал проводить тесты, чтобы убедиться, что это жизнеспособное решение, и я столкнулся с проблемой, которую должен был предвидеть: хотя я установил срок действия пароля на 10 дней (chage -M 10 user), после изменения пароля истечение срока действия дата осталась прежней, вместо того, чтобы вернуться к «никогда».
Есть ли способ отключить истечение срока действия пароля после того, как пользователь изменил свой пароль? (Пользователи могут изменить свой пароль через интерфейс веб-почты, используя сценарий, основанный на команде chpasswd).
Я бы попробовал совместить chage -M и -d параметры.
-M
Установите максимальное количество дней, в течение которых пароль действителен. Когда MAX_DAYS плюс LAST_DAY меньше текущего дня, пользователь должен будет изменить свой пароль, прежде чем сможет использовать свою учетную запись.
-d
Установите количество дней с 1 января 1970 г., когда последний раз меняли пароль. Дата также может быть выражена в формате ГГГГ-ММ-ДД.
Итак, учитывая эти варианты, решите, как часто вы хотите, чтобы ваши пароли истекали. Очевидно, вы не хотите, чтобы они истекали каждые 10 дней, поэтому -M параметр должен быть установлен на более высокое значение.
Чтобы пользователи сменили пароли в течение следующих 10 дней, установите -d (LAST_DAY) значение, чтобы LAST_DAY + MAX_DAYS == TODAY + 10 DAYS.
Этот трюк позволит ускорить приближение срока действия пароля. После изменения пароля следующий срок действия будет установлен на основе значения, указанного с помощью -M вариант.