Lozinke su već šest decenija ključni element sigurnosti naloga, pojavivši se čak i pre pojave Uniksa za skoro deset godina. U ovom tekstu ćete saznati kako da koristite komandnu liniju ili GNOME desktop okruženje za upravljanje lozinkama u Linux sistemu.
Kako odabrati jaku lozinku
Lozinka za računar je nastala iz potrebe. Sa pojavom računarskih sistema sa deljenjem vremena koji su omogućavali istovremeni pristup više korisnika, postalo je jasno da je neophodno razdvojiti i zaštititi podatke različitih korisnika. Lozinka je rešila taj problem.
Lozinke su i dalje najrasprostranjeniji način autentifikacije naloga. Dvofaktorska i višefaktorska autentifikacija dodatno poboljšava zaštitu, a biometrijska autentifikacija nudi alternativni metod identifikacije. Međutim, tradicionalna lozinka je i dalje prisutna i verovatno će tako ostati još dugo. Zbog toga je bitno znati kako ih najbolje kreirati i koristiti. Neke od ranijih praksi više nisu relevantne.
Evo nekoliko osnovnih smernica za lozinke:
Ne koristite klasične lozinke: umesto toga, koristite fraze. Tri ili četiri nepovezane reči, povezane interpunkcijom, simbolima ili brojevima, mnogo su teže za razbijanje od nasumičnih kombinacija slova ili lozinki u kojima su samoglasnici zamenjeni brojevima.
Ne koristite iste lozinke na različitim sistemima: izbegavajte ponovnu upotrebu lozinki, bilo na istom ili različitim sistemima.
Ne delite svoje lozinke: lozinke su lične i ne smeju se deliti ni sa kim.
Ne zasnivajte lozinke na ličnim informacijama: ne koristite imena članova porodice, omiljene sportske timove, muzičke grupe, ili bilo šta drugo što se može saznati putem društvenih mreža ili socijalnog inženjeringa.
Ne koristite šablonske lozinke: izbegavajte lozinke koje se zasnivaju na šablonima ili pozicijama tastera na tastaturi, poput qwertz, 1x2w3e i slično.
Politika obavezne promene lozinki više se ne smatra najboljom praksom. Ako koristite jake, sigurne lozinke, treba ih menjati samo u slučaju sumnje da su kompromitovane. Redovne promene lozinki mogu podstaći loš izbor lozinki, jer mnogi korisnici koriste osnovnu lozinku i samo dodaju datum ili broj na kraju.
Nacionalni institut za standarde i tehnologiju je detaljno pisao o lozinkama, identifikaciji i autentifikaciji korisnika. Njihove preporuke su javno dostupne u Specijalnoj publikaciji 800-63-3: Smernice za digitalnu autentifikaciju.
Datoteka passwd
U prošlosti, operativni sistemi zasnovani na Unix-u čuvali su lozinke, zajedno sa drugim informacijama o svakom nalogu, u datoteci „/etc/passwd“. Danas, datoteka „/etc/passwd“ i dalje sadrži informacije o nalogu, ali šifrovane lozinke se čuvaju u datoteci „/etc/shadow“, kojoj je pristup ograničen. S druge strane, svako može pregledati sadržaj datoteke „/etc/passwd“.
Da biste pogledali sadržaj datoteke „/etc/passwd“, ukucajte sledeću komandu:
less /etc/passwd
Prikazuje se sadržaj datoteke. Pogledajmo detalje za nalog pod nazivom „marija“.
Svaki red predstavlja jedan nalog (ili program koji ima „korisnički“ nalog). Postoji sedam polja razdvojenih dvotačkom:
Korisničko ime: Ime za prijavu na nalog.
Lozinka: „x“ označava da je lozinka sačuvana u datoteci /etc/shadow.
ID korisnika: Identifikator korisnika za ovaj nalog.
ID grupe: Identifikator grupe za ovaj nalog.
GECOS: Ovo je skraćenica od General Electric Comprehensive Operating Supervisor. Danas, Gecos polje sadrži informacije o nalogu razdvojene zarezima. To mogu biti stavke kao što su puno ime osobe, broj sobe, kancelarijski i kućni telefonski broj.
Početni direktorijum: Putanja do matičnog direktorijuma naloga.
Shell: Program koji se pokreće kada se korisnik prijavi na računar.
Prazna polja se prikazuju kao dve uzastopne dvotačke.
Inače, komanda finger prikazuje informacije iz GECOS polja.
finger mary
Datoteka shadow
Da biste pregledali sadržaj datoteke „/etc/shadow“, morate koristiti sudo:
sudo less /etc/shadow
Prikazuje se sadržaj datoteke. Za svaki unos u datoteci „/etc/passwd“, trebalo bi da postoji odgovarajući unos u datoteci „/etc/shadow“.
Svaki red predstavlja jedan nalog, a postoji devet polja razdvojenih dvotačkom:
Korisničko ime: Ime za prijavu na nalog.
Šifrovana lozinka: Šifrovana lozinka za nalog.
Poslednja promena: Datum poslednje promene lozinke.
Minimum dana: Minimalni broj dana koji mora proći između promene lozinke. Korisnik mora čekati ovaj broj dana pre nego što može promeniti lozinku. Ako je vrednost nula, korisnik može menjati lozinku kad god želi.
Maksimum dana: Maksimalni broj dana između promene lozinke. Obično je ova vrednost veoma velika. Za nalog „marija“, vrednost je 99.999 dana, što je više od 27 godina.
Dani upozorenja: Broj dana pre isteka lozinke kada će se prikazati poruka sa podsetnikom.
Resetovanje zaključavanja: Nakon isteka lozinke, sistem čeka ovaj broj dana (grejs period) pre nego što onemogući nalog.
Datum isteka naloga: Datum kada vlasnik naloga više neće moći da se prijavi. Ako je ovo polje prazno, nalog nikada ne ističe.
Rezervisano polje: Prazno polje za moguću buduću upotrebu.
Prazna polja se prikazuju kao dve uzastopne dvotačke.
Prikazivanje polja „Poslednja promena“ kao datuma
Unix epoha počela je 1. januara 1970. Vrednost polja „Poslednja promena“ je 18.209. Ovo je broj dana od 1. januara 1970. kada je lozinka za nalog „marija“ poslednji put promenjena.
Koristite ovu komandu da biste prikazali vrednost „Poslednja promena“ kao datum:
date -d "1970-01-01 18209 days"
Datum se prikazuje kao ponoć na dan kada je lozinka poslednji put promenjena. U ovom primeru, to je bio 9. novembar 2019.
Komanda passwd
Koristite komandu passwd da promenite svoju lozinku, i ako imate sudo privilegije, lozinke drugih korisnika.
Da biste promenili svoju lozinku, koristite komandu passwd bez parametara:
passwd
Morate dva puta uneti svoju trenutnu lozinku, a zatim novu lozinku.
Promena tuđe lozinke
Da biste promenili lozinku drugog naloga, morate koristiti sudo i navesti ime naloga:
sudo passwd mary
Morate uneti svoju lozinku da biste potvrdili da imate privilegije superkorisnika. Zatim unesite novu lozinku za nalog, pa je ponovo unesite da biste je potvrdili.
Prinudna promena lozinke
Da biste prisilili korisnika da promeni lozinku sledeći put kada se prijavi, koristite opciju -e (expire):
sudo passwd -e mary
Prikazaće se poruka da je datum isteka lozinke promenjen.
Kada se vlasnik naloga „marija“ sledeći put prijavi, moraće da promeni svoju lozinku:
Zaključavanje naloga
Da biste zaključali nalog, koristite komandu passwd sa opcijom -l (lock):
sudo passwd -l mary
Prikazaće se poruka da je datum isteka lozinke promenjen.
Vlasnik naloga više neće moći da se prijavi na računar sa svojom lozinkom. Da biste otključali nalog, koristite opciju -u (unlock):
sudo passwd -u mary
Opet će se prikazati poruka da su podaci o isteku lozinke promenjeni:
Vlasnik naloga i dalje neće moći da se prijavi na računar sa svojom lozinkom. Međutim, i dalje će moći da se prijavi pomoću drugih metoda autentifikacije koje ne zahtevaju lozinku, poput SSH ključeva.
Ako zaista želite da sprečite korisnika da pristupi sistemu, morate da mu istekne nalog.
Komanda chage
Ova komanda je skraćenica od „change age“. Možete koristiti komandu chage da biste podesili datum isteka za ceo nalog.
Pogledajmo trenutna podešavanja za nalog „marija“, sa opcijom -l (list):
sudo chage -l mary
Datum isteka naloga je postavljen na „nikad“.
Da biste promenili datum isteka, koristite opciju -E (expire). Ako je postavite na nulu, to se tumači kao „nula dana od Unix epohe“, odnosno 1. januara 1970.
Ukucajte sledeće:
sudo chage -E0 mary
Ponovo proverite datum isteka naloga:
sudo chage -l mary
Pošto je datum isteka u prošlosti, ovaj nalog je sada zaista zaključan, bez obzira na metodu autentifikacije koju korisnik može da koristi.
Da biste ponovo aktivirali nalog, koristite istu komandu sa -1 kao numeričkim parametrom:
sudo chage -E -1 mary
Unesite sledeće da biste proverili:
sudo chage -l mary
Datum isteka naloga je resetovan na „nikad“.
Promena lozinke naloga u GNOME okruženju
Ubuntu i mnoge druge Linux distribucije koriste GNOME kao podrazumevano desktop okruženje. Možete koristiti dijalog „Podešavanja“ da biste promenili lozinku za nalog.
Da biste to uradili, u sistemskom meniju kliknite na ikonu „Podešavanja“.
U dijalogu „Podešavanja“ kliknite na „Detalji“ u panelu sa leve strane, a zatim na „Korisnici“.
Kliknite na nalog za koji želite da promenite lozinku; u ovom primeru, izabraćemo „Meri Kvin“. Kliknite na nalog, a zatim kliknite na „Otključaj“.
Od vas će biti zatraženo da unesete lozinku. Nakon što se autentifikujete, „Marijini“ detalji postaju dostupni za uređivanje. Kliknite na polje „Lozinka“.
U dijalogu „Promeni lozinku“ kliknite na radio dugme „Postavi lozinku odmah“.
Unesite novu lozinku u polja „Nova lozinka“ i „Potvrdite novu lozinku“.
Ako se unete lozinke podudaraju, dugme „Promeni“ postaje zeleno; kliknite na njega da biste sačuvali novu lozinku.
U drugim desktop okruženjima, alati za upravljanje nalozima će biti slični onima u GNOME okruženju.
Budite sigurni, ostanite sigurni
Već 60 godina, lozinka je esencijalni deo sigurnosti naloga na internetu i neće uskoro nestati.
Zato je važno mudro ih koristiti. Ako razumete mehanizme lozinki u Linux sistemu i usvojite najbolje prakse, osiguraćete sigurnost svog sistema.