Cómo habilitar el envejecimiento de contraseñas en Linux
El envejecimiento de contraseñas es un mecanismo que permite al sistema
imponer una vida útil determinada para las contraseñas. Si bien puede resultar moderadamente
inconveniente para los usuarios, garantiza que las contraseñas se cambien de vez en cuando,
lo cual es una buena práctica de seguridad. La mayoría de las distribuciones de Linux no habilitan
el envejecimiento de contraseñas de forma predeterminada, pero es muy fácil de habilitar.
Configuración de envejecimiento de contraseñas
Al editar el archivo /etc/login.defs,
puedes especificar algunos parámetros para establecer la configuración predeterminada del envejecimiento de contraseñas:
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
Esto desactiva efectivamente el envejecimiento de contraseñas estableciendo el número
de días que una contraseña es válida en 99,999. Una configuración más sensata sería 60, lo que
obligaría a cambiar la contraseña cada dos meses. La configuración PASS_MIN_DAYS indica
cuántos días deben pasar antes de que al usuario se le permita cambiar su contraseña desde el
último cambio de contraseña. La configuración PASS_WARN_AGE indica cuántos días antes del
vencimiento de la contraseña se enviarán avisos de advertencia a los usuarios (es decir,
cuando inician sesión).
También debes editar el archivo /etc/default/useradd, buscando las palabras clave
INACTIVE y EXPIRE:
INACTIVE=14
EXPIRE=
Esto indica cuándo cambiar la cuenta a inactiva después de que la contraseña haya
caducado pero no se haya cambiado; en este caso, serían 14 días. La configuración EXPIRE
puede establecer una fecha de vencimiento explícita para todos los usuarios nuevos en formato YYYY-MM-DD.
Actualización de la configuración para usuarios existentes
Estas configuraciones solo afectan a los usuarios recién creados después de que se hayan realizado
los cambios. Para actualizar la configuración de los usuarios que ya existen, puedes utilizar la herramienta chage:
Cómo responder a un incidente de malware: plan y pasos clave# chage -M 60 joe
Esto establecerá la configuración del número máximo de días de contraseña de Joe a 60 días y
actualizará el archivo shadow en consecuencia. Puedes utilizar la opción -l de chage para listar la información actual de la edad de la cuenta, -m para establecer PASS_MIN_DAYS, -W para establecer PASS_WARN_AGE y más. La herramienta chage te permitirá manipular todos los aspectos del envejecimiento de contraseñas en la cuenta especificada.
Ten en cuenta que chage solo funcionará en cuentas locales del sistema y
no funcionará si estás utilizando un sistema como LDAP para la autenticación. Si
utilizas LDAP para la autenticación y tratas de usar chage, incluso para obtener información sobre el envejecimiento del usuario, te darás cuenta de que chage no sabe nada
sobre el usuario.
Beneficios de tener una política de envejecimiento de contraseñas
Contar con una política que defina cada cuánto tiempo se debe cambiar una contraseña y poder hacerla cumplir es definitivamente algo positivo. En el caso de un empleado despedido, por ejemplo, el envejecimiento de contraseñas garantiza que el antiguo empleado no pueda regresar tres meses después y encontrar su cuenta aún accesible. Incluso si el administrador del sistema olvida eliminar la cuenta, la cuenta se bloqueará debido a la configuración de envejecimiento. Esto, obviamente, no es una excusa para no eliminar
las cuentas de los usuarios que ya no necesitan acceso al sistema, pero proporciona
una capa adicional de seguridad en caso de que esto se pase por alto.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo habilitar el envejecimiento de contraseñas en Linux , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados