sábado, 12 de noviembre de 2022

Complejidad Passwords Reglas politicas en Linux Debian /etc/pam.d/common-password

Complejidad Passwords Reglas politicas en Linux Debian /etc/pam.d/common-password

https://medium.com/guayoyo/configura-la-pol%C3%ADtica-de-contrase%C3%B1as-en-debian-y-ubuntu-para-proteger-m%C3%A1s-tu-equipo-8ceaaa54da38

Configura la política de contraseñas en Debian y Ubuntu para proteger más tu equipo

Los sistemas operativos basados en Linux como Debian y Ubuntu, permiten configurar una política de contraseñas de forma fácil y rápida editando un simple archivo de texto. Hoy le vamos a enseñar cómo se configura esta política de claves de inicio de sesión en el sistema operativo Debian y Ubuntu, ya que en ambas distribuciones es igual.

Antes de empezar, nos gustaría decir que este manual ha sido probado en un sistema Ubuntu, pero también funciona sin problemas en Debian y en otros sistemas operativos basados en este último.

¿Para qué sirve configurar una política de contraseñas de usuario?

Cuando instalamos el sistema operativo Debian o Ubuntu en un equipo, te habrás dado cuenta que nos permite crear una cuenta local con cualquier contraseña, es decir, podremos poner de contraseña “123456” y nos dejará crearla sin ningún problema. Sin embargo, utilizar este tipo de contraseñas no es nada seguro ni tampoco recomendable.

Por este motivo, y para obligar a todos los usuarios del ordenador a utilizar contraseñas robustas, el administrador del sistema podrá configurar una política de contraseñas, y de esta forma, obligar a todos los usuarios a fortalecer las contraseñas que utilizan en el ordenador. Esta configuración es también válida para servidores, ideal si estamos utilizando un servidor donde acceden decenas de personas con sus credenciales de usuario.

Paso 1: Instalación de libpam_cracklib

Lo primero que vamos a hacer es instalar libpam_cracklib, una librería que se encargará de verificar que la contraseña nueva que vamos a introducir no forma parte de un diccionario. Esta librería también comprueba que la nueva contraseña no es igual a una anteriormente utilizada, o si ha sido reutilizada cambiando únicamente un carácter. Otras comprobaciones que realiza es por ejemplo si es demasiado corta, o poco compleja, además, también se asegura que no tiene un único carácter introducido varias veces de forma consecutiva etc.

Para su instalación, simplemente ejecutamos la siguiente orden en consola (es necesario acceso de superusuario o sudo):

sudo apt install libpam-cracklib

Paso 2: Editar el fichero de configuración

Lo siguiente que debemos hacer es hacer una copia de seguridad del fichero de configuración a editar, esto no es obligatorio pero sí recomendable. Una vez hecho, abrimos el fichero con permisos de superusuario para poder editarlo, podremos utilizar vi, vim, nano u otro editor de archivos de texto por consola, nosotros utilizaremos nano.

sudo cp /etc/pam.d/common-password /root/sudo nano /etc/pam.d/common-password

Una vez que estamos dentro del editor, debemos localizar una línea similar a la siguiente:

password requisite pam_cracklib.so retry=3 minlen=8 difok=3

Aquí es donde debemos editarlo, y tendremos las siguientes opciones:

  • retry: Número de intentos antes de que el sistema devuelva un error.
  • minlen: Longitud mínima de contraseña.
  • difok: Cambios de caracteres que debe tener la nueva contraseña en comparación con la vieja.
  • ucredit: Caracteres en mayúscula que debe tener.
  • lcredit: Caracteres en minúscula que debe tener.
  • dcredit: El número de dígitos que debe tener la nueva contraseña.
  • ocredit: El número de dígitos que debe tener la contraseña.

Las opciones ucredit, lcredit,dcredit y ocredit pueden tener números negativos o positivos, por ejemplo:

  • ucredit=-3 : Significa que como mínimo debe tener 3 caracteres en mayúscula.
  • ucredit=+3 : Significa que como máximo debe tener 3 caracteres en mayúscula.

Y es igual con el resto de las opciones lcredit,dcredit y ocredit.

Paso 3: Elegir una buena política de contraseñas

Una vez que sabemos las opciones que Debian nos proporciona, debemos elegir la política de contraseñas a configurar. Un ejemplo de política de contraseñas seguras sería la siguiente:

password requisite pam_cracklib.so retry=3 minlen=12 difok=3 ucredit=-2 lcredit=-2 dcredit=-2 ocredit=-2

Con la política anterior tendremos:

  • Longitud mínima de la contraseña 12 caracteres.
  • Si cambiamos la clave, como mínimo debe haber tres diferencias.
  • 2 caracteres en mayúscula, 2 en minúscula, 2 dígitos y 2 símbolos como mínimo

Una vez que hayamos configurado el fichero de texto, lo guardamos y ya podremos comprobarlo.

Paso 4: Comprobación de la nueva política de claves

Simplemente con ejecutar “passwd nombre_usuario” podremos cambiar la contraseña de nuestro sistema operativo:

Si no cumple con la política, nos dará un aviso de error. Una vez que la contraseña cumpla con la política nos permitirá cambiarla.

No hay comentarios:

Publicar un comentario