Cómo forzar cambios regulares de contraseña de Linux

La caducidad de contraseñas es un mecanismo del sistema que se utiliza para forzar la caducidad de las contraseñas después de un período de tiempo específico. Esto puede causar algunos problemas al usuario, pero es una buena medida de seguridad para garantizar que las contraseñas se cambien periódicamente. De forma predeterminada, la mayoría de las distribuciones de Linux no habilitan la caducidad de la contraseña, pero es muy fácil habilitarla.

Al editar /etc/login.defs, puede especificar varios parámetros para establecer la configuración predeterminada para la validez de la contraseña:

PASS_MAX_DAYS 99999

PASS_MIN_DAYS 0< / p>

PASS_WARN_AGE 7

Cuando configura los días de la contraseña en 999999, en realidad equivale a desactivar el límite de tiempo de la contraseña. Una configuración más razonable suele ser 60 días, lo que obliga a cambiar la contraseña cada dos meses.

Por otro lado, el parámetro PASS_MIN_DAYS establece el número mínimo de días requeridos después de un cambio de contraseña para permitir el siguiente cambio de contraseña, mientras que la configuración PASS_WARN_AGE especifica cuántos días antes de la fecha de vencimiento de la contraseña se notifica al usuario. de un cambio de contraseña (normalmente, los usuarios reciben una notificación de advertencia cuando inician sesión por primera vez en el sistema).

También puedes editar el archivo /etc/default/useradd y buscar las palabras clave INACTIVE y EXPIRE:

INACTIVE=14EXPIRE=Esto especificará cuánto tiempo después de que caduque la contraseña, si la contraseña no ha cambiado, la cuenta cambiará al estado caducado. En este caso, son 14 días. La configuración EXPIRE establece una hora explícita (en el formato "año-mes-día") para la caducidad de la contraseña para todos los usuarios nuevos.

Evidentemente, los cambios en esta configuración sólo afectarán a los usuarios recién creados. Para cambiar configuraciones específicas para un usuario existente, debe usar la herramienta de cambio.

# chage -M 60 joe

Este comando establecerá el PASS_MAX_DAYS del usuario joe en 60 y modificará el archivo de sombra correspondiente.

Puedes usar la opción chage -l para enumerar las edades de la cuenta actual, la opción -m para configurar PASS_MIN_DAYS, la opción -W para configurar PASS_WARN_AGE, etc.

Tenga en cuenta que chage solo funciona para cuentas en el sistema local. Si está utilizando un sistema de autenticación como LDAP, chage no funcionará. Si está utilizando LDAP para la autenticación y tiene la intención de utilizar chage, encontrará que chage no funciona en absoluto incluso si simplemente intenta enumerar la información antigua de la contraseña de un usuario.

Es una buena idea tener una política que establezca con qué frecuencia se deben cambiar las contraseñas y luego hacer cumplir esa política. Después de despedir a un empleado, una política de caducidad de contraseña garantizará que sea menos probable que el empleado descubra que su contraseña todavía está disponible 3 meses después de ser despedido. Incluso si el administrador del sistema no elimina su cuenta, la cuenta se bloqueará automáticamente debido a la política de vencimiento de la contraseña. Por supuesto, SourceSky

Esto no justifica no eliminar rápidamente la cuenta del empleado, pero la política proporciona una capa adicional de seguridad, especialmente si en el pasado se ha descuidado a menudo la limpieza rápida de la cuenta.