Cómo forzar el cambio regular de la contraseña de Linux

El envejecimiento de la contraseña es un mecanismo del sistema que obliga a que una contraseña caduque después de un período de tiempo determinado. Esto puede causar algunos problemas para el usuario, pero garantiza que la contraseña se cambie periódicamente y es una buena medida de seguridad. Por defecto, la mayoría de las distribuciones de Linux no tienen una contraseña anterior, pero es muy simple de abrir. Al editar /etc/login.defs, puede especificar algunos parámetros para establecer la configuración predeterminada para la validación de la contraseña: PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_WARN_AGE 7 Cuando se configura el tiempo de caducidad de la contraseña en 99999, en realidad es equivalente a desactivar la contraseña. Una configuración más sensata es generalmente de 60 días (mdash; mdash); la contraseña se debe cambiar cada 2 meses. El parámetro PASS_MIN_DAYS establece el número mínimo de días necesarios para cambiar la contraseña la próxima vez que se modifique la contraseña. La configuración de PASS_WARN_AGE indica cuántos días antes de que caduque la contraseña, se notifica al usuario que cambie la contraseña (por lo general, cuando el usuario inicia sesión en el sistema, recibirá una notificación de advertencia). También editará el archivo /etc /default /useradd para encontrar las palabras clave INACTIVE y EXPIRE: INACTIVE = 14 EXPIRE = Esto indicará cuánto tiempo después de que caduque la contraseña, si la contraseña no se ha cambiado, cambie la cuenta al estado no válido. . En este caso, este tiempo es de 14 días. La configuración EXPIRE se usa para establecer un tiempo claro para que todos los usuarios nuevos caduquen (el formato es "Año-Mes-Fecha"). Obviamente, estos cambios en la configuración solo pueden afectar a los usuarios recién creados. Para modificar la configuración específica del usuario existente, debe utilizar la herramienta chage. # chage -M 60 joe Este comando establecerá el PASS_MAX_DAYS del usuario joe en 60 y modificará el archivo de sombra correspondiente. Puede usar la opción chage -l para enumerar el vencimiento de la cuenta actual, mientras usa la opción -m para configurar PASS_MIN_DAYS, -W para configurar PASS_WARN_AGE, y así sucesivamente. La herramienta Chage le permite modificar todo el estado de antigüedad de la contraseña para una cuenta específica. Tenga en cuenta que Chage solo funciona para cuentas en el sistema local. Si está utilizando un sistema de autenticación como LDAP, la herramienta fallará. Si está usando LDAP como autenticación y planea usar chage, incluso si solo está intentando enumerar las marcas de tiempo de la contraseña del usuario, encontrará que el chage no funciona en absoluto. Es una buena práctica desarrollar una estrategia que defina durante cuánto tiempo se debe cambiar una contraseña y luego aplicarla. Después de despedir a un empleado, la política de caducidad de la contraseña asegurará que es poco probable que el empleado encuentre que su contraseña aún está disponible después de haber sido despedido por tres meses. Incluso si el administrador del sistema ignora la eliminación de su cuenta, la cuenta se bloqueará automáticamente debido a la política de caducidad de la contraseña. Por supuesto, esto no justifica el hecho de no eliminar la cuenta del empleado a tiempo, pero esta estrategia proporciona una capa adicional de seguridad, especialmente si a menudo se pasaba por alto en el pasado.