Después de la instalación del sistema, la mayoría de las distribuciones de Linux® tienen reglas relajadas con respecto a la frecuencia con la que debe cambiar su contraseña o cuánto tiempo debe esperar hasta que pueda cambiarla nuevamente. Este artículo proporciona pautas para cambiar las reglas de la política de contraseñas para fortalecer la seguridad de las contraseñas.
Configuración de políticas para futuras cuentas de nuevos usuarios
Cloud Servers almacena políticas de contraseñas para nuevas cuentas de usuario en /etc/login.defs archivo de configuración. Este archivo contiene un par de opciones útiles:
PASS_MAX_DAYS:Número máximo de días que puede usar una contraseña.PASS_MIN_DAYS:Número mínimo de días permitidos entre cambios de contraseña.PASS_MIN_LEN:Longitud mínima aceptable de la contraseña.PASS_WARN_AGE:número de días antes de que caduque una contraseña para dar una advertencia.
De forma predeterminada, Cloud Servers establece estas opciones en los siguientes valores:
PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7
Esta configuración le permite mantener su contraseña casi para siempre, cambiarla tantas veces como desee y establecer un límite de longitud bajo en la contraseña misma.
El siguiente ejemplo muestra reglas de política de contraseñas que son más seguras que la configuración predeterminada:
PASS_MAX_DAYS 60 PASS_MIN_DAYS 5 PASS_MIN_LEN 8 PASS_WARN_AGE 7
Estas nuevas reglas se aplican a todas las cuentas recién creadas. Las contraseñas de estas cuentas deben tener 8 caracteres y una duración de solo 60 días, y los usuarios no pueden cambiarlas durante 5 días, contados a partir del día en que establecieron la contraseña. Los usuarios también reciben una advertencia 7 días antes de que caduque la contraseña.
Configuración de políticas para cuentas de usuario existentes
Cambios en /etc/login.defs el archivo se aplica solo a las cuentas que crean los usuarios después de implementar los cambios; no se aplican a cuentas que ya existen.
Sin embargo, puede cambiar la misma configuración en las cuentas existentes utilizando el chage dominio. Por ejemplo:
chage <options> <username>
También puede ejecutar chage con solo un nombre de usuario, y abre un modo interactivo para que ajuste la configuración de la política de contraseñas.
La sintaxis de este comando es la siguiente:
chage <username>- Ejecuta el comando en un modo interactivo.chage -l <username>- Muestra la configuración de caducidad actual de la cuenta.chage -d <username>- Obliga al usuario a cambiar su contraseña en el próximo inicio de sesión.chage <options> <username>- Establece la configuración especificada para la cuenta.
Puede usar las siguientes opciones con el chage comando:
-M- Vigencia máxima de la contraseña en días.-m- Antigüedad mínima de la contraseña en días. Un valor de 0 significa que se requiere una edad mínima.-W- Período de advertencia de contraseña en días. Un valor de 0 significa que no hay período de advertencia.-I- Período de inactividad de la contraseña en días, que es la cantidad de días contados a partir de la fecha de vencimiento de la contraseña, durante los cuales aún puede iniciar sesión y cambiar su contraseña. Una vez que finaliza ese período de gracia, no se puede acceder a la cuenta.-E- Fecha de vencimiento de la cuenta. Puede especificar la fecha en muchos formatos, incluida la época. Sin embargo, los formatos fáciles de usar como "31 de diciembre de 2014" funcionan