Saltar al contenido
Think Tecno

Linux: cómo configurar los ajustes de caducidad de contraseña predeterminados para cuentas nuevas

Si administra un sistema Linux, una de las tareas que puede necesitar hacer es administrar las contraseñas de configuración para las cuentas de usuario. Como parte de este proceso, es probable que deba administrar la configuración de las cuentas nuevas y existentes.

La gestión de la configuración de la contraseña para las cuentas existentes se realiza mediante el comando «passwd», aunque existen otras alternativas. Puede configurar los valores predeterminados para las cuentas que se crearán en el futuro, sin embargo, evitando tener que cambiar manualmente los valores predeterminados para cada nueva cuenta.

Los ajustes se configuran en el archivo de configuración «/etc/login.defs». Dado que el archivo se encuentra en el directorio «/ etc», deberá cambiar los permisos de root. Para evitar problemas en los que realiza cambios, no puede guardarlos porque no tiene permisos, asegúrese de iniciar su editor de texto favorito con sudo.

La sección que desea se encuentra cerca del centro del archivo y se titula «Controles de antigüedad de la contraseña». Hay tres configuraciones en él, «PASS_MAX_DAYS», «PASS_MIN_DAYS» y «PASS_WARN_AGE». Respectivamente, estos se usan para establecer cuántos días puede ser válida una contraseña antes de que sea necesario restablecerla, cuánto tiempo después de un cambio de contraseña se puede hacer otra y cuántos días recibe una advertencia antes de que la contraseña caduque.


Los valores predeterminados para las comprobaciones de antigüedad de las contraseñas se pueden encontrar y configurar en el archivo «/etc/login.defs».

El «PASS_MAX_DAYS» predeterminado es 99999, que se utiliza para indicar que las contraseñas no deben caducar automáticamente. La configuración predeterminada de «PASS_MIN_DAYS» es 0, lo que significa que los usuarios pueden cambiar su contraseña tantas veces como quieran.

LEER
Discord: cómo habilitar y configurar la superposición del juego

Consejo: un límite mínimo de antigüedad de la contraseña se combina normalmente con un mecanismo de historial de contraseñas para evitar que los usuarios cambien su contraseña y luego la devuelvan instantáneamente a lo que era antes.

La configuración predeterminada de «PASS_WARN_AGE» es siete días. Este valor se usa solo si la contraseña de un usuario está realmente configurada para caducar.

Cómo configurar la configuración de caducidad de contraseña predeterminada para cuentas nuevas

Si desea configurar estos valores para que las contraseñas caduquen automáticamente cada 90 días, se aplique una antigüedad mínima de un día y se notifique a los usuarios 14 días antes del vencimiento, debe establecer los valores «90», «1» y «14 «respectivamente. Después de realizar los cambios que desee, guarde el archivo. De forma predeterminada, a todas las cuentas nuevas creadas después de actualizar el archivo se les aplicarán los ajustes configurados.


Los valores «90», «1» y «14», respectivamente, configuran las contraseñas para que caduquen automáticamente cada 90 días, se modifiquen una vez al día como máximo y avisen a los usuarios de que su contraseña debe cambiarse catorce días. antes de la fecha límite.

Nota: A menos que la política lo requiera, debe evitar configurar contraseñas para que caduquen automáticamente con el tiempo. NCSC, NIST y la comunidad de ciberseguridad en general ahora recomiendan que las contraseñas solo caduquen cuando exista una sospecha razonable de que han sido comprometidas. Esto se debe a una investigación que ha demostrado que el restablecimiento regular de contraseñas obligatorias empuja activamente a los usuarios a elegir contraseñas más débiles y formales que son más fáciles de adivinar. Cuando los usuarios no se ven obligados a crear y recordar una nueva contraseña con regularidad, son mejores para crear contraseñas más largas, complejas y generalmente más seguras.