Linux: ¿Cómo configurar la caducidad de la contraseña predeterminada para cuentas nuevas?

Si está administrando un sistema Linux, es posible que deba administrar las contraseñas de preferencia de la cuenta de usuario. Como parte de este proceso, es probable que deba administrar la configuración de las cuentas nuevas y existentes.

El comando passwd se usa para administrar la configuración de contraseñas para cuentas existentes, pero existen otras alternativas. Puede establecer la configuración predeterminada para las cuentas que se creen en el futuro. Sin embargo, esto no le permite cambiar manualmente la configuración predeterminada para cada nueva cuenta.

Los ajustes se configuran en el archivo de configuración «/etc/login.defs». Dado que el archivo se encuentra en el directorio / etc, se requieren permisos de root para editarlo. Asegúrese de iniciar su editor de texto favorito con sudo para evitar problemas en los que pueda realizar cambios y luego no guardarlos porque no tiene permisos.

La sección que desea está en el medio del archivo y se titula Controles de antigüedad de la contraseña. Contiene tres configuraciones: «PASS_MAX_DAYS», «PASS_MIN_DAYS» y «PASS_WARN_AGE». Estos se utilizan para determinar cuántos días puede ser válida una contraseña antes de que deba restablecerse, qué tan rápido después de un cambio de contraseña, se puede cambiar otra y cuántos días se advierte a un usuario antes de que expire su contraseña.

Los valores predeterminados para los controles de caducidad de contraseñas se pueden encontrar en el archivo /etc/login.defs.

De forma predeterminada, PASS_MAX_DAYS es 99999, lo que indica que las contraseñas no deben caducar automáticamente. PASS_MIN_DAYS es 0 de forma predeterminada, lo que significa que los usuarios pueden cambiar su contraseña con la frecuencia que quieran.

Consejo: Por lo general, se combina un límite mínimo de antigüedad de la contraseña con un mecanismo de historial de contraseñas para evitar que los usuarios cambien su contraseña y luego la recuperen inmediatamente a su valor original.

De forma predeterminada, PASS_WARN_AGE es de siete días. Este valor se usa solo cuando la contraseña de un usuario está realmente configurada para caducar.

Cómo configurar los ajustes predeterminados de caducidad de la contraseña para cuentas nuevas

Si elige configurar estos valores para que las contraseñas caduquen automáticamente cada 90 días, se aplica una antigüedad mínima de un día y se advierte a los usuarios 14 días antes de que caduquen. Deben ser 90, 1 y 14. Guarde el archivo una vez que haya realizado los cambios que desee. Cualquier cuenta nueva que se cree después de actualizar el archivo tendrá la configuración predeterminada que configuró. aplicado.

Los valores «90», «1» y «14» configuran las contraseñas para que expiren automáticamente cada 90 días, no cambien más de una vez al día, y advierten a los usuarios que su contraseña debe cambiarse catorce días antes de la expiración.

Nota: A menos que lo requieran las pautas, debe evitar configurar contraseñas para que caduquen automáticamente con el tiempo. El NCSC, NIST y la comunidad de ciberseguridad en general ahora recomiendan que las contraseñas solo caduquen si existe una sospecha razonable de que han sido comprometidas. Esto se debe a una investigación que ha demostrado que los restablecimientos regulares de contraseñas obligatorias alientan activamente a los usuarios a elegir contraseñas más débiles y formuladas que sean más fáciles de adivinar. A menos que los usuarios se vean obligados a crear y recordar una nueva contraseña con regularidad, estarán en mejores condiciones de crear contraseñas más largas, complejas y, en general, más seguras.

Deja un comentario