Foto cortesía:mattblaze
Las mejores prácticas recomiendan que los usuarios sigan cambiando las contraseñas a intervalos regulares. Pero, por lo general, los desarrolladores y otros usuarios del sistema Linux no cambiarán la contraseña a menos que se vean obligados a cambiarla.
Es responsabilidad de los administradores del sistema encontrar una manera de obligar a los desarrolladores a cambiar su contraseña. ¡Obligar a los usuarios a cambiar su contraseña con una pistola en la cabeza no es una opción!. Si bien la mayoría de los administradores de sistemas conscientes de la seguridad pueden verse tentados a hacerlo.
En este artículo, revisemos cómo puede usar el comando de cambio de Linux para realizar varias actividades prácticas de caducidad de contraseñas, incluido cómo obligar a los usuarios a cambiar su contraseña.
En Debian, puede instalar chage ejecutando el siguiente comando:
# apt-get install chage
Nota: Es muy fácil cometer un error tipográfico en este comando. En lugar de cambio, puede terminar escribiéndolo como cambio. Recuerde que chage significa "cambio de edad". es decir, la abreviatura del comando chage es similar a chmod, chown, etc.,
1. Enumere la contraseña y sus detalles relacionados para un usuario
Como se muestra a continuación, cualquier usuario puede ejecutar el comando cambiar para que él mismo identifique cuándo su contraseña está a punto de caducar.
Syntax: chage –-list username (or) chage -l username $ chage --list dhinesh Last password change : Apr 01, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
Si el usuario dhinesh intenta ejecutar el mismo comando para el usuario ramesh, recibirá el siguiente mensaje de permiso denegado.
$ chage --list ramesh chage: permission denied
Nota: Sin embargo, un usuario raíz puede ejecutar el comando de cambio para cualquier cuenta de usuario.
Cuando el usuario dhinesh cambie su contraseña el 23 de abril de 2009, actualizará el valor de "Último cambio de contraseña" como se muestra a continuación.
Consulte nuestro artículo anterior:Mejores prácticas y guía definitiva para crear una contraseña súper segura, que lo ayudará a seguir las mejores prácticas al cambiar la contraseña de su cuenta.
$ date Thu Apr 23 00:15:20 PDT 2009 $ passwd dhinesh Enter new UNIX password: Retype new UNIX password: passwd: password updated successfully $ chage --list dhinesh Last password change : Apr 23, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
2. Establecer la fecha de caducidad de la contraseña para un usuario mediante la opción de cambio -M
El usuario raíz (administradores del sistema) puede establecer la fecha de vencimiento de la contraseña para cualquier usuario. En el siguiente ejemplo, la contraseña del usuario dhinesh está configurada para caducar 10 días después del último cambio de contraseña.
Tenga en cuenta que la opción -M actualizará las entradas "La contraseña caduca" y "Número máximo de días entre cambios de contraseña" como se muestra a continuación.
Syntax: # chage -M number-of-days username # chage -M 10 dhinesh # chage --list dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
3. Mensaje de advertencia de caducidad de contraseña durante el inicio de sesión
De forma predeterminada, el número de días de advertencia antes de que caduque la contraseña se establece en 7. Por lo tanto, en el ejemplo anterior, cuando el usuario dhinesh intente iniciar sesión el 30 de abril de 2009, recibirá el siguiente mensaje.
$ ssh dhinesh@testingserver dhinesh@testingserver's password: Warning: your password will expire in 3 days
4. Usuario obligado a cambiar la contraseña después de la fecha de vencimiento
Si la fecha de caducidad de la contraseña llega y el usuario no cambia su contraseña, el sistema obligará al usuario a cambiar la contraseña antes de iniciar sesión, como se muestra a continuación.
$ ssh dhinesh@testingserver dhinesh@testingserver's password: You are required to change your password immediately (password aged) WARNING: Your password has expired. You must change your password now and login again! Changing password for dhinesh (current) UNIX password: Enter new UNIX password: Retype new UNIX password:
5. Establecer la fecha de caducidad de la cuenta para un usuario
También puede usar el comando cambiar para establecer la fecha de vencimiento de la cuenta como se muestra a continuación usando la opción -E. La fecha que se indica a continuación está en formato "AAAA-MM-DD". Esto actualizará el valor "La cuenta caduca" como se muestra a continuación.
# chage -E "2009-05-31" dhinesh # chage -l dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : never Account expires : May 31, 2009 Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
6. Forzar el bloqueo de la cuenta de usuario después de X días de inactividad
Normalmente, si la contraseña ha caducado, los usuarios se ven obligados a cambiarla durante su próximo inicio de sesión. También puede establecer una condición adicional, donde después de que caduque la contraseña, si el usuario nunca intentó iniciar sesión durante 10 días, puede bloquear automáticamente su cuenta usando la opción -I como se muestra a continuación. En este ejemplo, la fecha de "Contraseña inactiva" se establece en 10 días a partir del valor "La contraseña caduca".
Una vez que se bloquea una cuenta, solo los administradores del sistema podrán desbloquearla.
# chage -I 10 dhinesh # chage -l dhinesh Last password change : Apr 23, 2009 Password expires : May 03, 2009 Password inactive : May 13, 2009 Account expires : May 31, 2009 Minimum number of days between password change : 0 Maximum number of days between password change : 10 Number of days of warning before password expires : 7
7. Cómo deshabilitar la caducidad de la contraseña para una cuenta de usuario
Para desactivar la caducidad de la contraseña de una cuenta de usuario, configure lo siguiente:
- -m 0 establecerá el número mínimo de días entre el cambio de contraseña en 0
- -M 99999 establecerá el número máximo de días entre el cambio de contraseña en 99999
- -I -1 (número menos uno) establecerá la "Contraseña inactiva" en nunca
- -E-1 (número menos uno) establecerá "La cuenta caduca" en nunca.
# chage -m 0 -M 99999 -I -1 -E -1 dhinesh # chage --list dhinesh Last password change : Apr 23, 2009 Password expires : never Password inactive : never Account expires : never Minimum number of days between password change : 0 Maximum number of days between password change : 99999 Number of days of warning before password expires : 7
Este artículo fue escrito por Dhineshkumar Manikannan. Trabaja en bk Systems (p) Ltd y está interesado en contribuir al código abierto. The Geek Stuff agradece sus consejos y artículos de invitados