La siguiente practica se muestra cómo aplicar contraseñas seguras utilizando /etc/login.defs, /etc/pam.d/common-password, pam_cracklib.so y pam_unix.so.

Ubuntu: Ejercicio 01: Instalación de Ubuntu Desktop 12.04 LTS

En esta practica, veremos cómo hacer lo siguiente:

• Establecer tiempo máximo de vida a una contraseña.
• Establecer el número máximo de días que se puede usar una contraseña antes del próximo restablecimiento de contraseña.
• Establecer el número mínimo de días permitido entre los cambios de contraseña.
• Forzar a que las contraseñas contengan mayúsculas, minúsculas, dígitos y caracteres especiales.
• Haremos un seguimiento de los historiales de contraseñas.

La idea de este ejercicio es fortalecer las contraseñas, para eso tenemos que modificar algunos ficheros. el primer fichero que vamos a trabajar es login.defs

root@ubuntu:~# cd /etc
root@ubuntu:/etc# ls -l login.defs
root@ubuntu:/etc# cp login.defs login.defs.BKP
root@ubuntu:/etc# ls -l login.defs*

ahora toca editar login.defs y tenemos que buscar el parametro PASS_MAX

podemos modificar PASS_MAS_DAYS a 90

para indicar el minimo numero de dias para permitir el cambio entre dos contraseñas es PASS_MIN_DAYS que lo cambiamos a 1 y guardamos

ahora instalamos libpam-cracklig y verificamos que está instalado

root@ubuntu:~# apt-get install libpam-cracklib
root@ubuntu:~# ls -ld /usr/share/pam-configs/cracklib

Ahora vamos al fichero common-password, hacemos una copia de seguridad y lo editamos

Una vez abierto tenemos que buscar pam_cracklib y al final de difok=3 escribimos ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

que significa esa linea?

• retry=3, nos da 3 oportunidades para acertar la contraseña
• minlen=8, cantidad minima de caracteres en la contraseña
• difok=3, necesita 3 caracteres diferentes con respecto a la antigua contraseña para aceptar la nueva contraseña
• ucredit=-1, La contraseña requiere al menos 1 manuscula.
• lcredit=-1, al menos 1 minuscula
• dcredit=-1, al menos 1 numero.
• ocredit=-1, al menos 1 caracter especial.

Ahora para activar el historial de contraseñas vamos a /etc/security, reseteamos el historial y cambiamos los privilegios al fichero donde va a guardar las contraseñas

root@ubuntu:~# cd /etc/security
root@ubuntu:~# cat /dev/null > opasswd
root@ubuntu:~# chmod 600 opassed
root@ubuntu:~# chown root:root opassed
root@ubuntu:~# ls -l opassed*

El siguiente paso es editar el fichero common-password, buscar la palabra pam_unix.so y al final de la linea que pone sha512 escribir remember=12

grep "^PASS" /etc/login.defs
grep "pam_cracklib.so" /etc/pam.d/common-password
grep "pam_unix.so" /etc/pam.d/common-password
date
echo "tu nombre"