Securizando el uso de contraseñas en Linux
En Linux la fortificación de las contraseñas viene determinada primero por la caducidad de las contraseñas y segundo por su complejidad. Debemos recordar que es la puerta de entrada a la administración de un sistema y debemos prestarle la atención que se merece.
Caducidad de las contraseñas
Cuando se crea un usuario la plantilla que se utiliza para configurar los parámetros del usuario incluida la caducidad de las contraseñas vienen establecidas por el fichero /etc/login.defs
Por defecto, en el fichero login.defs, la caducidad de las contraseñas vienen establecidas de la siguiente forma:
Una vez creado el usuario podremos gestionar la caducidad de la contraseña con el comando chage.
Para consultar un usuario
# chage –l root
Si quisiéramos que la contraseña caducase a los 90 días utilizaríamos el siguiente comando:
# chage -M 90 root
La información de la caducidad de las contraseñas también podemos consultarla en el fichero /etc/shadow
Por otra parte, el comando useradd tiene su propio fichero de configuración de usuarios /etc/defaults/useradd y permite también controlar la caducidad, aunque se recomienda modificar sólo el fichero de configuración /etc/login.defs ya que en algunas distribuciones de Linux no funciona correctamente.
El comando useradd permite también establecer la caducidad cuando se crea un usuario, con los modificadores “-e” y “-f”.
Al igual que chage, el comando usermod también permite establecer la caducidad a un usuario existente.
Complejidad de las contraseñas con el módulo de PAM pwquality
El módulo pwquality permite añadir restricciones al uso de contraseñas para que cumplan un nivel de seguridad alto en entornos Linux
En las últimas versiones de las distribuciones basadas en RedHat este módulo viene instalado por defecto en el sistema. Para las distribuciones basadas en Debian se deberá instalar con el siguiente comando:
# apt install libpam-pwquality
Una vez instalado veremos en el archivo /etc/pam.d/common-passwd que ya se ha añadido la librería como requisito en una de las directrices del fichero.
El resto del procedimiento de configuración es igual en ambas distribuciones, disponemos de un fichero de configuración en la ubicación /etc/security/pwquality.conf que nos permitirá de forma fácil aumentar el nivel de complejidad de la contraseña. Además de la documentación de pwquality el propio fichero dispone de comentarios por cada opción que nos ayudarán en la configuración: