Product SiteDocumentation Site

3.4.3. パスワードエージングの有効化

セキュリティの理由から、ユーザーがパスワードを定期的に変更するよう要求することをお勧めします。ユーザーの管理アプリケーションのパスワード情報タブにおいてユーザーを追加または編集するときに、または chage コマンドを使用することにより、これを実行できます。

chage を使用するためにシャドウパスワードが有効化されなければいけません

シャドウパスワードは chage コマンドを使用するために有効化されなければいけません。詳細は「シャドウパスワード」を参照してください。
シェルプロンプトからユーザーのパスワード有効期限を設定するには、root として以下のコマンドを実行します:
chage [options] username
…ここで options表3.4「chhage のコマンドライン オプション」において説明されているコマンドラインオプションです。chage コマンドが直接ユーザー名を引数としているとき (つまり、コマンドラインオプションを何も指定していないとき)、現在のパスワードエージング値が表示され、対話的に変更することができます。
表3.4 chhage のコマンドライン オプション
オプション 説明
-d days パスワードが変更された日を 1970 年 1 月 1 日からの日数で指定します。
-E date アカウントがロックされる日付を YYYY-MM-DD の形式で指定します。日付を指定する代わりに、 1970 年 1 月 1 日からの起算日数で指定することも可能です。
-I days アカウントをロックする前にパスワード期限切れ後のインアクティブな日数を指定します。値が 0 ならば、アカウントはパスワード期限切れ後にロックされません。
-l アカウントの現在のエージング設定を一覧表示します。
-m days ユーザーがパスワードを変更しなければいけない最小日数を指定します。値が 0 ならば、パスワードは期限切れしません。
-M days パスワードが有効な最大日数を指定します。このオプションにより指定された日数に加えて、-d オプションで指定された日数が現在の日数よりも小さいとき、ユーザーはアカウントを使用する前にパスワードを変更しなければいけません。
-W days ユーザーにパスワード失効の日付を警告するまでの日数を指定します。

ユーザーが初めてログインするときにパスワードが失効するように設定できます。これによりユーザーが直ちにパスワードを変更するよう強制されます。
  1. 初期パスワードをセットアップします。これには一般的な手順が2つあります: デフォルトのパスワードを割り当てることができます、または空白のパスワードを使用することができます。
    デフォルトのパスワードを割り当てるには、シェルプロンプトにおいて root として以下のように入力します:
    passwd username
    代わりに空のパスワードを割り当てるには、以下のコマンドを使用します:
    passwd -d username

    できる限り空白のパスワードの使用を避けます

    空白のパスワードを使用することは便利ですが、非常に危険なことです。あらゆる第三者がセキュアではないユーザー名を使用して最初にログインして、システムにアクセスすることができます。必ず、空白のパスワードを持つアカウントをロック解除する前にログインする準備ができていることを確実にしてください。
  2. Force immediate password expiration by running the following command as root として以下のように実行することにより、直ちにパスワードを強制的に期限切れにできます:
    chage -d 0 username
    このコマンドは、パスワードが最後に変更された日付の値を 1970 年 1 月 1 日に設定します。この値は、いかなるパスワードエージングのポリシーが設定されていようと関係なく、直ちにパスワードを強制的に失効させます。
初回ログイン時、ユーザーは新しいパスワードを入力するよう要求されます。