¿Qué necesito?

  • Un servidor Linux dedicado o VPS
  • Ubuntu

¿Qué son las políticas de contraseña segura?

Los sistemas operativos basados ​​en Linux son asombrosos; Sin embargo, no son los más seguros de forma predeterminada y la instalación de un nuevo servidor web requiere más configuración para garantizar que esté correctamente reforzado y protegido de agentes malintencionados. Y todo esto comienza con asegurarse de que las contraseñas de los usuarios sean realmente complejas, y no solo los nombres de sus gatos. Cuando los usuarios establecen contraseñas débiles en sus cuentas, es fácil para los piratas informáticos forzarlos a comprometerse.

Lo que es realmente molesto es que cuando crea un usuario local en Linux, puede escribir cualquier contraseña y la aceptará, incluso la elección monumentalmente estúpida pero aún popular de “contraseña”.

  1. Hacer cumplir las políticas de contraseñas seguras en Ubuntu
  1. Haga cumplir los requisitos del usuario para cambiar la contraseña cada 30 días o menos. ¡De forma predeterminada, está ridículamente establecido en 99999!

Cómo habilitar y hacer cumplir las políticas de contraseña segura en Ubuntu

sudo /etc/login.defs
...
PASS_MAX_DAYS        30

Cómo habilitar y hacer cumplir las políticas de contraseña segura en Ubuntu

  1. Usemos el módulo PAM pwquality / pam_pwquality para establecer los requisitos de contraseña predeterminados para las contraseñas del sistema.
  1. Requerimientos de instalación
  1. Instale el paquete lib-am-pwquality en su servidor Ubuntu.
sudo apt-get -y install libpam-pwquality cracklib-runtime

Cómo habilitar y hacer cumplir las políticas de contraseña segura en Ubuntu

  1. Después de instalar el paquete, deberá editar el archivo /etc/pam.d/common-password para establecer los requisitos de contraseña:
sudo nano /etc/pam.d/common-password

Cómo habilitar y hacer cumplir las políticas de contraseña segura en Ubuntu

  1. Busque la línea 25, que debería verse así:
password         requisite        pam_pwquality.so retry=3

  1. Ahora cambie esto por algo más seguro y útil:
password         requisite        pam_pwquality.so retry=3 minlen=12 maxrepeat=3 ucredit=-1 
lcredit=-1 dcredit=-1 ocredit=-1 difok=3 gecoscheck=1 reject_username enforce_for_root

Cómo habilitar y hacer cumplir las políticas de contraseña segura en Ubuntu

  1. ¿Qué significan todas estas banderas?

repetir = 3: Preguntar a un usuario dos veces antes de regresar con un error. Mantenga esto abajo ya que no quiere que alguien golpee la puerta todo el tiempo.

mía = 12: La longitud de la contraseña debe ser lo más larga posible, ya que esto aumenta enormemente el tiempo de descifrado.

maxrepeat = 3: Permita un máximo de 2 caracteres repetitivos en su contraseña.

ukredit = -1: Requiere al menos 1 letra mayúscula.

dkredit = -1: Debe contener al menos 1 letra minúscula.

dkredit = -1: Debe tener al menos 1 número.

difok = 3: El número de caracteres de la nueva contraseña que no pueden estar presentes en la contraseña anterior.

gecoscheck = 1: Las palabras del campo GECOS de la contraseña del usuario no se incluyen en la nueva contraseña.

rechazar_nombre_de_usuario: Rechaza la contraseña si contiene el nombre del usuario en forma directa o inversa.

force_for_root: Aplique la política de contraseñas en el usuario root.

  1. Puede cambiar esta configuración para cumplir con los requisitos de seguridad de su caso de uso particular. Sin embargo, lo anterior es un buen punto de partida.
  2. Reinicie su servidor:
sudo reboot

  1. Luego, puede agregar una cuenta de usuario de prueba para confirmar que los cambios en la política de contraseñas han surtido efecto:
sudo useradd test

  1. Pruebe con una contraseña débil:
sudo passwd test

  1. Si ha configurado correctamente su política de contraseñas, recibirá un mensaje de error que indica que esta contraseña no es satisfactoria.

Próximos pasos

Recomendaría verificar regularmente las vulnerabilidades no solo en su servidor web, sino también en su propio comportamiento de seguridad. ¿Eres de los que habitualmente usa la misma contraseña para todo? Ahora que está administrando un servidor web, eso tiene que terminar.

Conclusión

Como ha visto, hacer cumplir una política de contraseñas razonablemente segura es bastante sencillo y es una excelente manera de evitar que los usuarios establezcan contraseñas débiles que pueden ser conjeturas manuales o ataques de fuerza bruta. Al hacer cumplir estas pautas, finalmente puede estar seguro de que dio los primeros pasos para fortalecer adecuadamente la seguridad de sus sistemas y hacer que sea más difícil para los atacantes y piratas informáticos ponerlo en peligro.