Заставить пользователей Linux сменить пароль при следующем входе

Зачем принудительно менять пароли

Регулярная смена паролей снижает риск продолжительного доступа злоумышленников при скомпрометированном пароле. Если пользователь забыл сменить пароль или использует устаревший пароль слишком долго, администратор должен принудительно запросить смену при следующем входе.

Важно: прежде чем принудительно менять срок действия пароля, уведомите пользователя и согласуйте окно для смены пароля, чтобы не прервать критичные операции.

Коротко о терминах

• Парольная политика — набор правил, определяющих срок действия и требования к паролям.
• Aging (старение пароля) — механизм отслеживания даты последней смены и допустимого срока действия.

Использование команды passwd

Команда passwd управляет паролями и некоторыми параметрами их старения. Для просмотра или изменения настроек требуются права администратора.

Показать состояние учётной записи пользователя:

sudo passwd -S username

Объяснение полей вывода passwd -S:

• Первое поле — имя пользователя.
• Второе поле: P — пароль активен, L — пароль заблокирован, NP — пароль не установлен.
• Третье поле — дата последней смены пароля.
• Дальше идут: минимальный срок, максимальный срок, предупреждение и период неактивности (в днях).

Принудительно просрочить пароль, чтобы пользователь сменил его при следующем входе:

sudo passwd -e username

После выполнения команда пометит пароль как просроченный. При следующем входе система потребует ввести текущий пароль, затем предложит задать новый.

Установка максимального срока действия пароля (пример — 30 дней):

sudo passwd -x 30 username

Минимальное число дней между сменами пароля (пример — 5 дней):

sudo passwd -n 5 username

Совет: используйте passwd для быстрых, одноразовых изменений и проверок статуса.

Использование команды chage

Команда chage управляет политикой старения паролей и даёт более гибкие параметры по датам и срокам. Для работы требуются права администратора.

Показать текущую информацию о старении пароля:

sudo chage -l username

Сделать пароль немедленно просроченным:

sudo chage -d 0 username

Установка максимального срока действия (пример — 60 дней):

sudo chage -M 60 username

Установка минимального срока между сменами пароля (пример — 5 дней):

sudo chage -m 5 username

Пример: если пароль был изменён 26 октября, при M=60 он истечёт 25 декабря.

Альтернативные подходы

• PAM (Pluggable Authentication Modules): управляйте политикой паролей централизованно через настройки PAM (например, pam_pwquality, pam_unix). PAM удобен для сложных правил и интеграции с LDAP.
• LDAP/AD: если учётные записи централизованы, меняйте политику в каталоге (например, через AD GPO или настройки OpenLDAP), а не локально на каждой машине.
• Изменение атрибутов /etc/shadow: опытные администраторы могут вручную править даты в поле последней смены, но это рискованно и требует осторожности.
• usermod с опцией -e: можно установить дату истечения учётной записи (не пароля) для временного доступа.

Когда применять альтернативы: если у вас домен, многие пользователи или нужно единое управление — используйте LDAP/AD или PAM. Для одиночных серверов — passwd/chage достаточно.

Когда это не сработает

• У пользователя нет действующего пароля (NP) — принудительная просрочка не заставит его пройти через смену пароля в привычном виде; потребуется установить пароль вручную.
• Учетная запись заблокирована (L) — сначала нужно разблокировать учётную запись.
• Внешняя система аутентификации (OAuth, SSO, внешние провайдеры) — локальные инструменты не влияют на пароли внешних провайдеров.

Важно: всегда проверяйте, как пользователь аутентифицируется, прежде чем применять принудительные меры.

Методика: пошагово для администратора

1. Проверить статус пароля:

sudo passwd -S username
sudo chage -l username

2. Уведомить пользователя о предстоящей смене пароля и согласовать время.
3. Применить принудительную просрочку:

• Быстро: sudo passwd -e username
• Контролируемо: sudo chage -d 0 username

4. Проверить результат: повторно посмотреть chage -l и passwd -S.
5. При необходимости предоставить инструкции по смене пароля и включить MFA.

Роли и чек-листы

Администратор:

• Уведомить пользователя заранее.
• Сделать резервную копию конфигурации (если будете менять /etc/shadow).
• Применить команду и проверить статус.
• Помочь пользователю при проблемах со сменой пароля.

Сотрудник службы поддержки:

• Подготовить стандартные инструкции по смене пароля.
• Проверять блокировки и ошибки аутентификации.

Пользователь:

• Задать надёжный пароль или использовать менеджер паролей.
• Включить двухфакторную аутентификацию, если доступна.

Критерии приёмки

• При входе после изменения система требует смены пароля.
• После смены новая дата последней смены обновлена в chage и passwd -S.
• Пользователь может успешно войти и использовать учётную запись.

Практические советы по надёжным паролям

• Используйте длинные фразы (passphrases) вместо коротких сложных наборов символов.
• Применяйте менеджер паролей для уникальности паролей по сервисам.
• Подключите многофакторную аутентификацию (MFA), где возможно.
• Не сообщайте пароль по телефону или в открытых каналах.

Короткий глоссарий

• passwd — утилита управления паролями локальных пользователей.
• chage — утилита управления временем жизни пароля.
• PAM — модульная система аутентификации в Linux.
• LDAP/AD — централизованные каталоги учётных записей.

Итог и рекомендации

Принудительная просрочка пароля — простой и надёжный способ улучшить безопасность. Для одиночных серверов удобно использовать passwd или chage. Для больших инфраструктур предпочтительнее централизованные решения (PAM, LDAP/AD) и включение MFA.

Важно: заранее уведомляйте пользователей и предоставляйте инструкции по смене пароля, чтобы минимизировать простои.

Полезно: если вы управляете большим количеством серверов, автоматизируйте проверку состояния паролей и рассылку уведомлений через конфигурационные инструменты (Ansible, Puppet, Chef).