Si bien Linux se considera un sistema operativo seguro, su seguridad es tan buena como la seguridad de la contraseña de los usuarios que inician sesión. Existen políticas de contraseñas para garantizar que se establezca una contraseña segura para los usuarios y, como usuario de Linux, debe tener en cuenta el cumplimiento de estas políticas para dificultar que se produzcan infracciones. Seguramente no desea que los usuarios configuren contraseñas débiles o adivinables que los piratas informáticos pueden forzar por la fuerza bruta en cuestión de segundos.
En este artículo, nos basamos en cómo hacer cumplir las políticas de contraseñas en Linux, más específicamente CentOS y Ubuntu. Cubriremos la aplicación de políticas de contraseñas, como el período de vencimiento de la contraseña, la complejidad de la contraseña y la longitud de la contraseña.
Hacer cumplir las políticas de contraseñas en Ubuntu/Debian
Hay 2 formas principales de hacer cumplir las políticas de contraseñas. Echemos un vistazo a cada uno en detalle.
1) Configurar el número máximo de días que se puede usar una contraseña
Para empezar, puede configurar una política de contraseñas que requiera que los usuarios cambien sus contraseñas después de un cierto número de días. Las mejores prácticas dictan que una contraseña debe cambiarse periódicamente para mantener a los usuarios maliciosos fuera de lugar y dificultarles la violación de su sistema. Esto se aplica no solo en Linux sino también en otros sistemas como Windows y macOS.
Para lograr esto En Debian/Ubuntu, debe modificar el archivo /etc/login.defs y estar atento a los PASS_MAX_DAYS atributo.
De forma predeterminada, se establece en 99 999 días, como se muestra.
Puede modificar esto a una duración razonable, digamos, 30 días. Simplemente establezca el valor actual en 30 como se muestra y guarde los cambios. Una vez transcurridos los 30 días, se verá obligado a crear otra contraseña.
2) Configurar la complejidad de la contraseña con pam
Asegurarse de que la contraseña cumpla con un cierto grado de complejidad es igualmente crucial y frustra aún más cualquier intento de los piratas informáticos de infiltrarse en su sistema utilizando la fuerza bruta.
Como regla general, una contraseña segura debe tener una combinación de mayúsculas, minúsculas, números y caracteres especiales y debe tener al menos 12-15 caracteres.
Para hacer cumplir la complejidad de la contraseña en los sistemas Debian/Ubuntu, debe instalar el paquete libpam-pwquality como se muestra:
$ sudo apt install libpam-pwquality
Una vez instalado, diríjase al archivo /etc/pam.d/common-password desde donde establecerá las políticas de contraseña. Por defecto, el archivo aparece como se muestra:
Localice la línea que se muestra a continuación
password requisite pam_pwquality.so retry=3
Agregue los siguientes atributos a la línea:
minlen=12 maxrepeat=3 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 difok=4 reject_username enforce_for_root
La línea completa debería aparecer como se muestra:
Expliquemos qué significan estas directivas:
- reintentar=3:esta opción le preguntará al usuario 3 veces antes de salir y devolverá un error.
- minlen=12:Esto especifica que la contraseña no puede tener menos de 12 caracteres.
- maxrepeat=3:Esto permite implica que solo se pueden incluir un máximo de 3 caracteres repetidos en la contraseña.
- ucredit=-1:la opción requiere al menos un carácter en mayúscula en la contraseña.
- lcredit=-1:la opción requiere al menos un carácter en minúscula en la contraseña.
- dcredit=-1:Esto implica que la contraseña debe tener al menos un carácter numérico.
- ocredit=-1:la opción requiere al menos un carácter especial incluido en la contraseña.
- difok=3:Esto implica que solo un máximo de 3 cambios de caracteres en la nueva contraseña deben estar presentes en la contraseña anterior.
- reject_username:La opción rechaza una contraseña si consta del nombre de usuario en su forma normal o a la inversa.
- enforce_for_root:esto garantiza que se cumplan las políticas de contraseñas incluso si es el usuario raíz quien configura las contraseñas.
Hacer cumplir las políticas de contraseñas en CentOS/RHEL
Para los sistemas Debian y Ubuntu, aplicamos la política de contraseñas haciendo cambios en /etc/pam.d/common-password archivo de configuración.
Para CentOS 7 y otros derivados, vamos a modificar /etc/pam.d/system-auth o /etc/security/pwquality.conf archivo de configuración.
Entonces, proceda y abra el archivo:
$ sudo vim /etc/pam.d/system-auth
Localice la línea que se muestra a continuación
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
Agregue las opciones en la línea como se muestra.
minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
Terminarás teniendo la siguiente línea:
Una vez hecho esto, guarde las políticas de contraseña y salga del archivo.
Una vez más, cuando intente crear un usuario con una contraseña débil que no cumpla con las políticas vigentes, encontrará el error que se muestra en la terminal.
Conclusión
Como ha visto, hacer cumplir una política de contraseñas es bastante fácil y sirve como una excelente manera de evitar que los usuarios configuren contraseñas débiles que pueden ser fáciles de adivinar o propensas a ataques de fuerza bruta. Al hacer cumplir estas políticas, puede estar seguro de que ha fortalecido la seguridad de su sistema y ha hecho más difícil que los piratas informáticos comprometan su sistema.