Si está administrando un sistema Linux, una de las tareas que puede tener que hacer es administrar las contraseñas de configuración para las cuentas de usuario. Como parte de este proceso, es probable que deba administrar la configuración de las cuentas nuevas y existentes.
La administración de la configuración de la contraseña para las cuentas existentes se realiza mediante el comando "passwd", aunque existen otras alternativas. Sin embargo, puede establecer la configuración predeterminada para las cuentas que se crearán en el futuro, lo que le evitará cambiar manualmente los valores predeterminados para cada nueva cuenta.
Los ajustes se configuran en el archivo de configuración “/etc/login.defs”. Como el archivo está ubicado en el directorio “/ etc”, necesitará permisos de root para editarlo. Para evitar problemas en los que realiza cambios y luego no puede guardarlos porque no tiene permisos, asegúrese de iniciar su editor de texto preferido con sudo.
La sección que desea se encuentra cerca de la mitad del archivo y se titula "Controles de antigüedad de la contraseña". En él hay tres configuraciones, "PASS_MAX_DAYS", "PASS_MIN_DAYS" y "PASS_WARN_AGE". Respectivamente, estos se utilizan para establecer cuántos días puede ser válida una contraseña antes de tener que restablecerla, qué tan pronto después de un cambio de contraseña, se puede hacer otro, y cuántos días de advertencia recibe un usuario antes de que su contraseña sea Caducado.
“PASS_MAX_DAYS” tiene como valor predeterminado 99999, que se utiliza para indicar que las contraseñas no deben caducar automáticamente. "PASS_MIN_DAYS" tiene un valor predeterminado de 0, lo que significa que los usuarios pueden cambiar su contraseña con la frecuencia que deseen.
Sugerencia: un límite mínimo en la antigüedad de la contraseña normalmente se combina con un mecanismo de historial de contraseñas en orden para evitar que los usuarios cambien su contraseña y luego la cambien inmediatamente a la que solían hacer ser.
"PASS_WARN_AGE" tiene un valor predeterminado de siete días. Este valor solo se usa si la contraseña de un usuario está realmente configurada para caducar.
Cómo configurar los ajustes predeterminados de caducidad de la contraseña para cuentas nuevas
Si desea configurar estos valores para que las contraseñas caduquen automáticamente cada 90 días, una edad mínima de uno se aplica el día, y se advierte a los usuarios 14 días antes de que caduquen, debe establecer los valores "90", "1" y "14" respectivamente. Una vez que haya realizado los cambios que desea, guarde el archivo. Cualquier cuenta nueva que se cree después de actualizar el archivo tendrá la configuración que configuró aplicada de forma predeterminada.
Nota: A menos que lo exijan las políticas, debe evitar configurar contraseñas para que caduquen automáticamente con el tiempo. El NCSC, NIST y la comunidad de ciberseguridad en general ahora recomiendan que las contraseñas solo caduquen cuando exista una sospecha razonable de que han sido comprometidas. Esto se debe a una investigación que ha demostrado que el restablecimiento regular de contraseñas obligatorias empuja activamente a los usuarios a elegir contraseñas más débiles y más formuladas que sean más fáciles de adivinar. Cuando los usuarios no se ven obligados a crear y recordar con regularidad una nueva contraseña, son mejores para crear contraseñas más largas, complejas y, en general, más seguras.