Выпуск shadow-utils 4.19 с признанием устаревшим механизма ограничения времени действия паролей
Доступен выпуск инструментария shadow-utils 4.19.0, включающего утилиты для управления учётными данными пользователей и групп, а также хранения паролей в отдельном файле /etc/shadow, доступном только пользователю root и группе shadow. В состав входят такие утилиты, как useradd, userdel, usermod, pwconv, groupadd, groupdel, groupmod, pwunconv, pwck, lastlog, su и login. Код инструментария написан на Си и распространяется под лицензией BSD.
Новая версия примечательна объявлением устаревшей функциональности, принуждающей пользователей менять пароль после истечения определённого времени. Современные исследования показали, что прирост безопасности от периодической смены паролей незначителен, а принуждение к смене паролей приводит к использованию пользователями предсказуемых шаблонов. В утверждённом в 2025 году стандарте NIST SP 800–63B-4 не рекомендовано ограничивать время жизни пароля. В число устаревших переведены опции »-k» (--keep-tokens),»-n» (--mindays),»-x» (--maxdays),»-i» (--inactive) и »-w» (--warndays), а также флаги PASS_MIN_DAYS, PASS_MAX_DAYS, PASS_WARN_AGE, INACTIVE, sp_lstchg, sp_min, sp_max, sp_warn и sp_inact. Планов по удалению данных опций и флагов пока нет, речь только о пометке их устаревшими.
Из других значительных изменений в новой версии:
- Запрещено использование в файлах конфигурации экранированных символов перевода строки.
- Объявлена устаревшей поддержка хэшей SHA-1, в следующем выпуске опция '--with-sha-crypt' будет удалена.
- В категорию устаревших и запланированных к удалению в будущих выпусках переведены утилиты groupmems и logoutd.
Реализовано блокирование использования некоторых опасных имён пользователей и групп, независимо от состояния опции »--badname». Например, имена, начинающиеся на »-» или содержащие служебные символы, такие как »#:;,/» и разные формы кавычек.
Источник: http://www.opennet.ru/opennews/art.shtml? num=64541
© OpenNet
