Chage

Fra GNUskole
Hopp til: navigasjon, søk

Skal brukerne (og/eller administratorene) ha et statisk langt og vanskelig passord, eller skal de bli påkrevd å bytte det ved jevne mellomrom? Debatten er lang og meningene mange, men mange systemer har en politikk med tvungent passordbytte etter en viss tid. For å sette dette, eller få info om det kan man på RedHat-baserte systemer (RedHhat Enterprise Linux, CentOS, Fedora mm.) bruke chage-kommandoen.

Som vanlig bruker kan man kjøre kommandoen chage -l for å liste litt info. Her for en bruker der det ikke er satt noe passordbyttepolitikk:

[bruker01@TS01 ~]$ chage -l bruker01
Siste endring av passord                         : apr 20, 2008
Passord utløper                                  : aldri
Passordet inaktivt                               : aldri
Kontoen utløper                                  : aldri
Minste antall dager mellom passord-endring       : 0
Største antall dager mellom passord-endring      : 99999
Antall dager med varsling før passordet utløper  : 7

(Jeg har ryddet litt i utputten siden den ser fæl ut med LANG=nb_NO.UTF-8, men den ser OK ut hvis systemet bruker LANG=C)

Administrator kan gjøre kontoen til bruker01 utilgjengelig fra og med 1. september 2010 med kommandoen

[root@TS01 ~]# chage -e 2010-09-01 bruker01

Brukeren må så selv kontakte administrator hvis vedkommende skal kunne logge inn etter dette.

Bytte av passord kan tvinges hver tredje måned (hver 90. dag) med kommandoen

[root@sputnik ~]# chage -M 90 -W 15 bruker01

Her må brukeren bytte passord før det har gått 90 dager. Opsjonen -W 15 betyr at brukeren får melding om at han snart må bytte passord 15 dager før passordet utløper.

Merk at ikke alle grafiske grensesnitt og innloggingsbehandlere håndterer dette like godt; av personlig erfaring kan nevnes at et Unix-system i den mest intense hovedfagsskrivingen ble utilgjengelig fordi et innloggingspassord hadde utløpt, uten at det ble meldt tilbake fra vindussystemet at det måtte byttes... For systemer man logger inn på via ssh/telnet/konsoll vil det imidlertid fungere fint.

Disse kommandoene (og tilsvarende; se man chage) kan være nyttige om man i et skript der man genererer skolebrukere også ønsker å sette en dato der innlogging ikke lenger er mulig. Typisk kan en brukerkonto for en ungdomskoleelev godt utløpe etter at vedkommende har sluttet. Data ligger selvsagt fremdeles tilgjengelig; det er bare brukerens tilgang til å logge inn som er stoppet.