Forcer le changement régulier de mot de passe sous Linux

By | 3 avril 2020 |

Dans cet article, je vais vous décrire pourquoi et comment activer le changement régulier de mot de passe.

Changement régulier de mot de passe, pourquoi?

Le changement régulier de mot de passe ajoute un niveau de sécurité à votre ordinateur ou serveur.
Effectivement, si votre mot de passe

Dans ces conditions, ça devient très (très) compliqué de trouver votre mot de passe.
Après il faut pas tomber dans la paranoia et changer de mot de passe toutes les 5 minutes ;-).
Malheureusement, le changement régulier de mot de passe n’est pas activé par défaut.
Étant donné que par nature l’être humain est fainéant, sans obligation, il ne changera jamais son mot de passe.

Comment activer le changement régulier de mot de passe

Je vous rassure tout de suite la manipulation est très simple, elle vous prendra moins de deux minutes !
La stratégie d’expiration des mots de passe se configure dans le fichier:

/etc/login.defs

Il nous faut donc éditer ce fichier avec notre éditeur favori:

$ sudo vim /etc/login.defs

Il faut ensuite chercher dans le fichier la section « Password aging controls » dans laquelle on peut définir 3 paramètres

  • PASS_MAX_DAYS
    renseigne le nombre de jours maximum le mot de passe est valide
  • PASS_MIN_DAYS
    renseigne le nombre de jours minimum entre deux changement de mot de passe
  • PASS_WARN_AGE
    renseigne le nombre de jours le système montrera un message d’avertissement à l’utilisateur avant l’expiration de son mot de passe
stratégie de changement régulier de mote de passe
stratégie de changement régulier de mote de passe

Premièrement, il faut dé-commenter et donner des valeurs à ces paramètres.
Par exemple, sur l’image ci-dessus, j’ai utilisé les valeurs suivantes: 120-0-8.
C’est-à-dire que

  • les mots de passe expirent après 120 jours (PASS_MAX_DAYS 120)
  • l’utilisateur peut changer plusieurs fois par jour de mot de passe (PASS_MIN_DAYS 0)
  • le système montre un avertissement 8 jours avant l’expiration du mot de passe (PASS_WARN_AGE 8)

Ceci n’est qu’un exemple, vous pouvez ajuster les valeurs à votre guise.
A première vue, on pourrait considérer que la configuration est terminée.
Cependant, cette configuration ne s’applique qu’aux nouveaux utilisateurs.

changement de mot de passe - chage command
changement de mot de passe – chage command

En effet sur l’image ci-dessus, on remarque que la stratégie n’est appliquée qu’à l’utilisateur « testuser » et pas à l’utilisateur « cba ».

Utilisateurs existants

Afin d’appliquer ces changements aux utilisateurs existants, il faut utiliser la commande chage. Vous trouverez les différentes options juste en lançant la commande « chage » ou vous pouvez vous référez à cette page.

chage options
$ sudo chage [-M maxdays] [-m mindays] [-W warndays] user

En ce qui nous concerne, si je veux appliquer la stratégie à l’utilisateur « cba », je vais utiliser la commande

$ sudo chage -M 120 -m 0 -W 8 cba

De plus, si je ne veux pas devoir changer de mot de passe lors de ma prochaine connexion, j’utilise -d pour fixer la date de dernier changement à aujourd’hui (2020-03-28)

$ sudo chage -M 120 -m 0 -W 8 -d "2020-03-28" cba

Malheureusement cette commande doit être répétée pour tous les comptes existants.. Selon le nombre d’utilisateur, un petit script est le bienvenu.

Mot de passe expiré

Lorsque le mot de passe n’est plus valide, le système vous demande un nouveau mot de passe.
Pour illustrer, forçons la date du dernier changement à l’année dernière (28 mars 2019).

changement régulier de mote de passe - mot de passe expiré
changement régulier de mote de passe – mot de passe expiré

Conformément à ce qu’on attendait, le système demande un nouveau mot de passe et met à jour la date d’expiration du mot de passe.
De même, on remarque que notre stratégie de mots de passe complexe est également appliquée.

Message d’avertissement

Notre stratégie prévoit également un message d’avertissement 8 jours avant la date d’expiration du mot de passe.
Pour tester cette situation le plus rapide est de faire en sorte que notre mot de passe expire en moins de 8 jours (par exemple 4):

changement régulier de mote de passe - message d'avertissement
changement régulier de mote de passe – message d’avertissement

Conclusion

Pour conclure, vous devriez maintenant avoir mis en place une stratégie de changement régulier de mot de passe.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.