La configuració de la complexitat de contrasenyes en Linux es fa
principalment mitjançant el mòdul PAM (Pluggable Authentication
Modules), concretament amb pam_pwquality (o
l’antic pam_cracklib).
pam_pwqualitysudo apt install libpam-pwquality/etc/security/pwquality.confAquest és el fitxer principal de configuració:
# Longitud mínima
minlen = 12
# Mínim de dígits
dcredit = -1
# Mínim de majúscules
ucredit = -1
# Mínim de minúscules
lcredit = -1
# Mínim de caràcters especials
ocredit = -1
# Nombre màxim de caràcters repetits consecutius
maxrepeat = 3
# Nombre de caràcters nous respecte l'anterior contrasenya
difok = 5
# Rebutjar contrasenyes que continguin el nom d'usuari
usercheck = 1
# Nombre d'intents abans de fallada
retry = 3
Els valors negatius en dcredit, ucredit,
etc. signifiquen mínim obligatori. Els positius sumen
punts (sistema de crèdits).
Edita /etc/pam.d/common-password:
sudo nano /etc/pam.d/common-passwordpassword requisite pam_pwquality.so retry=3
Per evitar reutilitzar contrasenyes antigues, al mateix fitxer PAM:
password required pam_pwhistory.so remember=5 use_authok
Amb chage per a un usuari concret:
# Caducitat màxima de 90 dies
sudo chage -M 90 usuari
# Avís 7 dies abans
sudo chage -W 7 usuari
# Veure configuració actual
sudo chage -l usuariO de forma global a /etc/login.defs:
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
PASS_WARN_AGE 7| Paràmetre | Fitxer | Funció |
|---|---|---|
minlen, dcredit… |
/etc/security/pwquality.conf |
Complexitat |
pam_pwhistory |
/etc/pam.d/... |
Historial |
PASS_MAX_DAYS |
/etc/login.defs |
Caducitat |
chage |
Comanda | Caducitat per usuari |