Quelles commandes Linux peuvent être utilisées pour définir une date d'expiration pour un mot de passe ?

1. `chage` (Modifier les informations d'expiration du mot de passe utilisateur) :

Il s'agit de la commande principale permettant de gérer la politique de vieillissement des mots de passe. Il vous permet de définir divers aspects de l'expiration du mot de passe, notamment la date de la dernière modification, l'âge minimum, l'âge maximum, la période d'avertissement et la période d'inactivité.

* Définir l'âge maximum du mot de passe (nécessaire pour le modifier) :

```bash

sudo chage -M

```

* `-M ` :Définit le nombre maximum de jours pendant lesquels un mot de passe est valide. Passé ce délai, l'utilisateur devra modifier son mot de passe lors de sa prochaine connexion.

* `` :Le nom d'utilisateur pour lequel vous définissez l'expiration du mot de passe.

* Exemple : `sudo chage -M 90 user1` (définit l'âge maximum du mot de passe pour l'utilisateur1 à 90 jours)

* Définissez la date du dernier changement de mot de passe :

```bash

sudo chage -d

```

* `-d ` :Définit la date à laquelle le mot de passe a été modifié pour la dernière fois. Ceci est crucial car l'âge maximum (`-M`) est calculé *à partir de* cette date. Si vous souhaitez qu'un mot de passe expire à une date précise, vous devez manipuler la date de dernière modification.

* Exemple : Supposons que vous souhaitiez que le mot de passe de l'utilisateur 2 expire le 31/12/2024 et que nous soyons aujourd'hui le 01/11/2024. Vous feriez :

```bash

sudo chage -d 2024-11-01 user2 # Définir la dernière date de modification à aujourd'hui

sudo chage -M 60 user2 # Définir l'âge maximum à 60 jours (expire le 31/12/2024)

```

* Définissez la période d'inactivité du mot de passe :

```bash

sudo chage -I

```

* `-I ` :Définit le nombre de jours après l'expiration d'un mot de passe pendant lequel le compte devient inactif. L'utilisateur ne pourra pas se connecter tant que le compte n'est pas réactivé. Définir cette valeur sur 0 signifie que le compte est verrouillé immédiatement après l'expiration du mot de passe.

* Exemple : `sudo chage -I 7 user3` (définit la période d'inactivité pour l'utilisateur3 à 7 jours)

* Définissez les jours d'avertissement avant l'expiration :

```bash

sudo chage -W

```

* `-W ` :Définit le nombre de jours avant l'expiration du mot de passe pendant lequel l'utilisateur est averti de modifier son mot de passe.

* Exemple : `sudo chage -W 7 user4` (définit la période d'avertissement pour l'utilisateur 4 à 7 jours)

* Afficher la politique actuelle en matière de vieillissement des mots de passe :

```bash

sudo chage -l

```

* `-l` :affiche les informations sur l'ancienneté du compte, y compris la date de la dernière modification, l'âge minimum, l'âge maximum, la période d'avertissement et la période d'inactivité. Ceci est essentiel pour vérifier vos modifications.

2. `passwd` (Modifier le mot de passe de l'utilisateur) :

Bien que `passwd` soit principalement destiné à changer les mots de passe, il interagit *implicitement* avec la politique d'expiration des mots de passe. Lorsqu'un utilisateur modifie son mot de passe à l'aide de « passwd », la date de « dernière modification » est mise à jour et le calcul de l'âge maximum commence à partir de ce point. Vous ne pouvez pas l'utiliser pour définir directement l'âge maximum, la période d'avertissement, etc.

* Forcer un utilisateur à changer son mot de passe lors de sa prochaine connexion (en définissant la date de dernière modification sur 0) :

```bash

sudo passwd -e

```

* `-e` :fait expirer le mot de passe immédiatement, forçant un changement lors de la prochaine connexion. Cela définit effectivement la dernière date de modification à zéro jour.

* Exemple : `sudo passwd -e utilisateur5`

Considérations importantes :

* Privilèges root : La plupart de ces commandes (en particulier `chage` lors de la modification d'autres utilisateurs) nécessitent les privilèges root. Utilisez `sudo` avant la commande.

* PAM (modules d'authentification enfichables) : L'expiration du mot de passe est fortement influencée par la configuration de PAM. Le répertoire `/etc/pam.d/` contient les fichiers de configuration qui déterminent la façon dont l'authentification (y compris les changements de mot de passe et l'expiration) est gérée. Bien que vous n'ayez généralement pas besoin de modifier ces fichiers directement pour définir des expirations simples avec `chage`, comprendre PAM est crucial pour des scénarios plus complexes.

* `/etc/login.defs` : Ce fichier contient les paramètres par défaut du système pour la création de comptes, y compris les politiques d'expiration des mots de passe. Vous pouvez définir les valeurs par défaut ici, mais les paramètres « chage » pour les utilisateurs individuels remplaceront ces valeurs par défaut. Les paramètres clés dans `/etc/login.defs` sont :

* `PASS_MAX_DAYS` :nombre maximum de jours pendant lesquels un mot de passe peut être utilisé.

* `PASS_MIN_DAYS` :nombre minimum de jours autorisés entre les changements de mot de passe.

* `PASS_WARN_AGE` :Nombre de jours d'avertissement avant l'expiration d'un mot de passe.

* Sécurité : Examinez attentivement votre politique d’expiration de mot de passe. Forcer des changements de mot de passe fréquents peut amener les utilisateurs à choisir des mots de passe plus faibles et plus faciles à retenir. Équilibrez sécurité et convivialité. Envisagez d'autres mesures de sécurité comme l'authentification multifacteur.

* Test : Testez toujours les paramètres d'expiration de votre mot de passe sur un compte utilisateur test *avant* de les appliquer aux systèmes de production. Vérifiez que les avertissements s'affichent comme prévu et que l'expiration du mot de passe fonctionne correctement.

* Communication utilisateur : Informez les utilisateurs à l'avance de toute modification apportée à la politique d'expiration des mots de passe pour éviter toute frustration et appeler l'assistance.

Exemple de scénario :

Supposons que vous souhaitiez définir la politique de mot de passe suivante pour « user6 » :

* Le mot de passe expire après 60 jours.

* L'utilisateur reçoit un avertissement 7 jours avant l'expiration.

* Le compte devient inactif si le mot de passe n'est pas modifié dans les 3 jours suivant l'expiration.

Voici la séquence de commandes que vous utiliseriez :

```bash

sudo chage -M 60 user6 # Définir l'âge maximum du mot de passe à 60 jours

sudo chage -W 7 user6 # Définir la période d'avertissement sur 7 jours

sudo chage -I 3 user6 # Définir la période d'inactivité sur 3 jours

sudo chage -l user6 # Vérifiez les paramètres

```

N'oubliez pas de toujours vérifier vos paramètres en utilisant `chage -l` après avoir apporté des modifications.

En résumé, `chage` est la commande la plus puissante et la plus flexible pour contrôler l'expiration des mots de passe sous Linux. Comprendre ses options et la manière dont elles interagissent avec d'autres paramètres système est essentiel pour gérer la sécurité des comptes utilisateur.