Utgivelse av shadow-utils 4.19 som avskriver mekanismen for utløp av passord

Versjon 4.19.0 av shadow-utils-verktøysettet er nå tilgjengelig. Det inkluderer verktøy for å administrere bruker- og gruppelegitimasjon og lagre passord i en separat fil, /etc/shadow, som kun er tilgjengelig for rotbrukeren og shadow-gruppen. Verktøyene inkluderer useradd, userdel, usermod, pwconv, groupadd, groupdel, groupmod, pwunconv, pwck, lastlog, su og login. Verktøysettet er skrevet i C og distribuert under BSD-lisensen.

Den nye versjonen er kjent for å ha avskrevet funksjonaliteten som tvinger brukere til å endre passordene sine etter en viss tidsperiode. Nyere forskning har vist at sikkerhetsfordelen med periodiske passordendringer er ubetydelig, og at tvungne passordendringer oppfordrer brukere til å bruke forutsigbare mønstre. NIST SP 800-63B-4, godkjent i 2025, anbefaler ikke å begrense passordenes levetid. Følgende alternativer er avskrevet: "-k" (--keep-tokens), "-n" (--mindays), "-x" (--maxdays), "-i" (--inactive) og "-w" (--warndays), samt flaggene PASS_MIN_DAYS, PASS_MAX_DAYS, PASS_WARN_AGE, INACTIVE, sp_lstchg, sp_min, sp_max, sp_warn og sp_inact. Det er ingen planer om å fjerne disse alternativene og flaggene for øyeblikket; vi snakker bare om å merke dem som foreldet.

Andre viktige endringer i den nye versjonen inkluderer:

  • Bruk av escapede linjeskifttegn i konfigurasjonsfiler er forbudt.
  • Støtte for SHA-1-hasher er avviklet, og alternativet «--with-sha-crypt» vil bli fjernet i en fremtidig versjon.
  • Verktøyene groupmems og logoutd er avskrevet og planlagt fjernet i fremtidige utgivelser.
  • Bruken av visse farlige bruker- og gruppenavn er blokkert, uavhengig av alternativet «--badname». Disse inkluderer navn som begynner med «-» eller inneholder spesialtegn som «#:;,/» og ulike former for anførselstegn.

Kilde: opennet.ru

Kjøp pålitelig hosting for nettsteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Kjøp pålitelig webhotell med DDoS-beskyttelse, VPS VDS-servere | ProHoster