Cómo configurar una política de contraseñas en Linux
Este módulo se instala de forma predeterminada en CentOS, Fedora o RHEL. Por lo tanto, no se requiere instalación en estos sistemas.
Para hacer cumplir la política de contraseñas, necesitamos modificar el archivo relacionado con la autenticación /etc/pam.d. Este documento entrará en vigor inmediatamente después de su modificación.
Tenga en cuenta que las reglas de contraseña de este tutorial solo se ejecutan cuando un usuario no root cambia la contraseña.
2. Evite reutilizar contraseñas antiguas. Busque la línea que contiene "contraseña" y "pam_unix.so" y luego agregue "remembers=5" al final de la línea. Esto evitará que las 5 contraseñas utilizadas más recientemente se utilicen para establecer nuevas contraseñas (almacenándolas en el archivo /etc/security/opasswd). Utilice el siguiente comando en Debin, Ubuntu o Linux Mint: sudo vi /etc/pam.d/common-password
Modificar: contraseña [success=1 default=ignore] pam_unix.so obscure sha512 Remember=5
Utilice el siguiente comando en Fedora, CentOS o RHEL: sudo vi /etc/pam.d/system-auth
Modificar: contraseña suficiente pam_unix.so sha512 shadow nullok try_first_pass use_authtok recordar =5
3. Busque la línea que contiene "contraseña" y "pam_cracklib.so" y agregue una nueva línea. ", seguido de "minlen=10". Esto aplicará una longitud mínima de contraseña de 10 dígitos, donde <#tipo>cuántos tipos diferentes de caracteres se utilizan en la contraseña. Hay cuatro tipos de símbolos (mayúsculas, minúsculas, numéricos ) y símbolos). Entonces, si usa una combinación de los cuatro tipos y especifica una longitud mínima de 10, la parte de contraseña simple permitida será de 6 dígitos usando el siguiente comando en Debin, Ubuntu o Linux Mint: sudo vi / etc/. pam.d/common-password
Modificar: requisito de contraseña pam_cracklib.so retry=3 minlen=10 difok=3
Utilice el siguiente comando en Fedora, CentOS o RHEL: sudo vi /etc/pam.d/system-auth
Modificar: requisito de contraseña pam_cracklib.so retry=3 difok=3 minlen=10
4. "contraseña" y "pam_cracklib.so" y agregue "ucredit=-1 lcredit=-2 dcredit=-1 ocredit=-1" Esto lo obligará a tener al menos una letra mayúscula y dos letras minúsculas en su contraseña, una. número y un símbolo.
Utilice el siguiente comando en Debin, Ubuntu o Linux Mint: sudo vi /etc/pam.d/common-password
Modificar: requisito de contraseña pam_cracklib.so retry=3 minlen=10 difok=3 uccredit=- 1 lcredit=-2 dcredit=-1 ocredit=-1
Utilice el siguiente comando: sudo vi /etc/pam.d/system-auth
Modificar: requisito de contraseña pam_cracklib. so retry=3 difok=3 minlen=10 uccredit=-1 lcredit=-2 dcredit=-1 ocredit=-1
5. Establecer el período de validez de la contraseña Para establecer el período máximo de validez de la contraseña actual. , modifique /etc Las siguientes variables en el archivo /login.defs: sudo vi /etc/pam.d/systemauth
Modifique las siguientes variables: sudo vi /etc/login.defs Las siguientes variables en el archivo: sudo vi /etc/ login.def
Modifique lo siguiente: PASS_MAX_DAYS 150
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
Este forzará cada seis Cambie la contraseña una vez al mes y envíe la fecha de vencimiento de la contraseña siete días antes de su vencimiento. Esto obligará a todos los usuarios a cambiar su contraseña cada seis meses y les enviará un mensaje de advertencia siete días antes de que caduque su contraseña, y unos días más y así sucesivamente (y eventualmente incluso obligará a los usuarios a cambiar su contraseña cuando inicien sesión al inicio). de lo contrario, no podrán ingresar al sistema (este es mi conocimiento personal visto en la programación de Linux y no tiene nada que ver con las opiniones del autor original)). Si desea utilizar la función de caducidad de contraseña según diferentes usuarios, puede utilizar el comando chage. Para ver la política de caducidad de contraseña para un usuario específico, use el siguiente comando: sudo chage -l xmodulo
Nota: xmodule es el nombre de usuario utilizado por el autor original en el sistema Linux. Se muestra el siguiente contenido: Hora del último cambio de contraseña: 30 de diciembre de 2013
Caducidad de la contraseña: nunca caduca
La contraseña está inactiva: nunca caduca
Caducidad de la cuenta: Nunca caduca
Número mínimo de días entre cambios de contraseña: 0
Número máximo de días entre cambios de contraseña: 9999
Advertencia de caducidad de contraseña días antes: 7
De forma predeterminada, la contraseña de un usuario no caduca. El comando para cambiar el período limitado de usuario xmodulo es el siguiente: $ sudo chage -E 30/06/2014 -m 5 -M 90 -I 30 -W 14 xmodulo
El comando anterior establece la contraseña en 30 de junio de 2014 Fecha vencida. Una vez que su contraseña caduque, su cuenta quedará bloqueada durante 30 días. Se enviará un mensaje de advertencia a la cuenta 14 días antes de que caduque la contraseña.