Algunos de ustedes pueden trabajar en industrias altamente reguladas, como médica, gobierno, contratación gubernamental y alimentos y bebidas. Probablemente tenga pautas estrictas para la caducidad de la contraseña, cambios regulares de contraseña, longitud mínima, complejidad y límites de tiempo mínimos entre cambios de contraseña. Otros de ustedes pueden usar pautas igualmente estrictas simplemente porque es una buena práctica hacerlo. Este artículo describe cómo auditar las cuentas de usuario y establecer algunas pautas sobre la caducidad de la contraseña y la frecuencia de cambio. Para los ejemplos, uso el chage comando.
[ También puede disfrutar leyendo:Equilibrar la seguridad de Linux con la facilidad de uso ]
El chage El comando se describe a sí mismo como la utilidad "cambiar la información de caducidad de la contraseña de usuario". Según el chage página man:
El comando chage cambia el número de días entre los cambios de contraseña y la fecha del último cambio de contraseña. El sistema utiliza esta información para determinar cuándo un usuario debe cambiar su contraseña.
Auditoría de cuentas de usuario
Las auditorías de cuentas periódicas no solo son una buena idea, sino que, dependiendo de las normas de cumplimiento de su industria, podrían ser un requisito. Es fácil verificar los requisitos de cambio de contraseña usando el chage dominio. He aquí un ejemplo:
# chage -l jdoe
Last password change : Apr 20, 2021
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7
Como puede ver, auditando el jdoe cuenta de usuario produce un error de auditoría. Los indicadores clave son que la contraseña del usuario nunca caduca y no hay un número mínimo o máximo de días entre los cambios de contraseña. Algunas regulaciones de la industria requieren que las contraseñas cambien cada 45 días, mientras que otras dictan un cambio de 90 días. Y podría ser que algunas empresas y regulaciones requieran un intervalo de cambio de 30 días.
Hacer caducar la contraseña de un usuario
Todos los clientes a los que he brindado asistencia hasta ahora han utilizado una caducidad de contraseña de 90 días y un número mínimo de días entre cambios de contraseña establecido en uno. Establecer un número mínimo de días entre cambios de contraseña ayuda a evitar que un usuario cambie su contraseña repetidamente hasta que pueda restablecerla a la anterior, evitando la seguridad del sistema. Puede establecer este número en algo mayor que uno. Algunas empresas fijan el número mínimo de días en siete.
# chage -m 1 -M 90 jdoe
# chage -l jdoe
Last password change : Apr 20, 2021
Password expires : Jul 19, 2021
Password inactive : never
Account expires : never
Minimum number of days between password change : 1
Maximum number of days between password change : 90
Number of days of warning before password expires : 7
El chage El comando caduca la contraseña del usuario 90 días desde el último cambio de contraseña. Por lo tanto, si cambió su contraseña por última vez el 15 de enero de 2019, su contraseña caducará el 15 de abril de 2019. Esto significa que si su fecha de vencimiento ya pasó, se le pedirá que la cambie en su próximo iniciar sesión.
$ ssh [email protected]
[email protected]'s password:
You are required to change your password immediately (password expired)
Activate the web console with: systemctl enable --now cockpit.socket
Last login: Sat Jun 19 10:46:27 2021
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user jdoe.
Current password:
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
Connection to 192.168.0.99 closed.
Tenga en cuenta que después del cambio de contraseña, el sistema remoto desconecta al usuario. El usuario debe reiniciar la conexión al sistema remoto e iniciar sesión con su nueva contraseña.
La advertencia y la cura
He escuchado muchos argumentos de usuarios y administradores de sistemas en contra de establecer un número mínimo de días entre los cambios de contraseña que indican que interrumpe los scripts automatizados. Mi respuesta siempre ha sido:"No use contraseñas para secuencias de comandos automatizadas". La razón es que algunos usuarios y administradores de sistemas escriben contraseñas en texto sin formato en esos scripts automatizados, y eso es algo malo, incluso si restringen los permisos de un script a la cuenta de usuario que los ejecuta.
La solución es utilizar pares de claves SSH para tareas automatizadas entre sistemas.
[ ¿Está pensando en la seguridad? Consulte esta guía gratuita para impulsar la seguridad de la nube híbrida y proteger su negocio. ]
Resumir
Este artículo le brinda una descripción general rápida del uso del chage Comando para auditar y caducar contraseñas en los sistemas que administra. Si no desea auditar cada cuenta individualmente, le sugiero que cree un script para verificar periódicamente las cuentas de sus usuarios y caducar aquellas que no cumplan con sus políticas de seguridad y requisitos reglamentarios.