Выпуск shadow-utils 4.19 с признанием устаревшим механизма ограничения времени действия паролей

Доступен выпуск инструментария shadow-utils 4.19.0, включающего утилиты для управления учётными данными пользователей и групп, а также хранения паролей в отдельном файле /etc/shadow, доступном только пользователю root и группе shadow. В состав входят такие утилиты, как useradd, userdel, usermod, pwconv, groupadd, groupdel, groupmod, pwunconv, pwck, lastlog, su и login. Код инструментария написан на Си и распространяется под лицензией BSD.

Новая версия примечательна объявлением устаревшей функциональности, принуждающей пользователей менять пароль после истечения определённого времени. Современные исследования показали, что прирост безопасности от периодической смены паролей незначителен, а принуждение к смене паролей приводит к использованию пользователями предсказуемых шаблонов. В утверждённом в 2025 году стандарте NIST SP 800-63B-4 не рекомендовано ограничивать время жизни пароля. В число устаревших переведены опции «-k» (—keep-tokens), «-n» (—mindays), «-x» (—maxdays), «-i» (—inactive) и «-w» (—warndays), а также флаги PASS_MIN_DAYS, PASS_MAX_DAYS, PASS_WARN_AGE, INACTIVE, sp_lstchg, sp_min, sp_max, sp_warn и sp_inact. Планов по удалению данных опций и флагов пока нет, речь только о пометке их устаревшими.

Из других значительных изменений в новой версии:

• Запрещено использование в файлах конфигурации экранированных символов перевода строки.
• Объявлена устаревшей поддержка хэшей SHA-1, в следующем выпуске опция ‘—with-sha-crypt’ будет удалена.
• В категорию устаревших и запланированных к удалению в будущих выпусках переведены утилиты groupmems и logoutd.
• Реализовано блокирование использования некоторых опасных имён пользователей и групп, независимо от состояния опции «—badname». Например, имена, начинающиеся на «-» или содержащие служебные символы, такие как «#:;,/» и разные формы кавычек.

Источник: opennet.ru