Linux: Cómo configurar los ajustes de antigüedad de la contraseña predeterminada para cuentas nuevas

Si está administrando un sistema Linux, una de las tareas que puede tener que hacer es administrar las contraseñas de configuración para las cuentas de usuario. Como parte de este proceso, es probable que deba administrar la configuración de las cuentas nuevas y existentes.

La administración de la configuración de la contraseña para las cuentas existentes se realiza mediante el comando "passwd", aunque existen otras alternativas. Sin embargo, puede establecer la configuración predeterminada para las cuentas que se crearán en el futuro, lo que le evitará cambiar manualmente los valores predeterminados para cada nueva cuenta.

Los ajustes se configuran en el archivo de configuración “/etc/login.defs”. Como el archivo está ubicado en el directorio “/ etc”, necesitará permisos de root para editarlo. Para evitar cualquier problema en el que realice cambios y luego no pueda guardarlos porque no tiene permisos, asegúrese de iniciar su editor de texto preferido con sudo.

La sección que desea se encuentra cerca de la mitad del archivo y se titula "Controles de caducidad de la contraseña". En él hay tres configuraciones, "PASS_MAX_DAYS", "PASS_MIN_DAYS" y "PASS_WARN_AGE". Respectivamente, se utilizan para establecer cuántos días puede ser válida una contraseña antes de tener que restablecerla, cuánto tiempo después de una contraseña se puede cambiar otra, y cuántos días recibe un usuario de advertencia antes de que caduque su contraseña.

Los valores predeterminados para los controles de caducidad de contraseñas se pueden encontrar y configurar en el archivo “/etc/login.defs”.

"PASS_MAX_DAYS" tiene el valor predeterminado 99999, que se utiliza para indicar que las contraseñas no deben caducar automáticamente. "PASS_MIN_DAYS" tiene un valor predeterminado de 0, lo que significa que los usuarios pueden cambiar su contraseña con la frecuencia que deseen.

Consejo: un límite mínimo en la antigüedad de la contraseña normalmente se combina con un mecanismo de historial de contraseñas para evitar que los usuarios cambien su contraseña y luego la cambien inmediatamente a la que solía ser.

"PASS_WARN_AGE" tiene un valor predeterminado de siete días. Este valor solo se usa si la contraseña de un usuario está realmente configurada para caducar.

Cómo configurar los ajustes predeterminados de caducidad de la contraseña para cuentas nuevas

Si desea configurar estos valores para que las contraseñas caduquen automáticamente cada 90 días, se aplique una antigüedad mínima de un día y se advierta a los usuarios 14 días antes de que caduquen, debe establecer los valores "90", "1" y " 14 ”respectivamente. Una vez que haya realizado los cambios que desea, guarde el archivo. Cualquier cuenta nueva que se cree después de actualizar el archivo tendrá la configuración que configuró aplicada de forma predeterminada.

Los valores "90", "1" y "14", respectivamente, configuran las contraseñas para que caduquen automáticamente cada 90 días, se cambien como máximo una vez al día y brinden a los usuarios advertencias de que su contraseña debe cambiarse catorce días antes de que caduque.

Nota: A menos que lo exijan las políticas, debe evitar configurar contraseñas para que caduquen automáticamente con el tiempo. El NCSC, NIST y la comunidad de ciberseguridad en general ahora recomiendan que las contraseñas solo caduquen cuando exista una sospecha razonable de que han sido comprometidas. Esto se debe a una investigación que ha demostrado que el restablecimiento regular de contraseñas obligatorias empuja activamente a los usuarios a elegir contraseñas más débiles y más formuladas que sean más fáciles de adivinar. Cuando los usuarios no se ven obligados a crear y recordar con regularidad una nueva contraseña, son mejores para crear contraseñas más largas, complejas y, en general, más seguras.