====== Introducción ======



La siguiente practica se muestra cómo aplicar contraseñas seguras utilizando /etc/login.defs, /etc/pam.d/common-password, pam_cracklib.so y pam_unix.so.

===== Requisito previo =====


Ubuntu: Ejercicio 01: Instalación de Ubuntu Desktop 12.04 LTS

===== Notas de la practica =====


En esta practica, veremos cómo hacer lo siguiente:
  * Establecer tiempo máximo de vida a una contraseña.
  * Establecer el número máximo de días que se puede usar una contraseña antes del próximo restablecimiento de contraseña.
  * Establecer el número mínimo de días permitido entre los cambios de contraseña.
  * Forzar a que las contraseñas contengan mayúsculas, minúsculas, dígitos y caracteres especiales.
  * Haremos un seguimiento de los historiales de contraseñas.

====== Ejercicio ======


La idea de este ejercicio es fortalecer las contraseñas, para eso tenemos que modificar algunos ficheros. el primer fichero que vamos a trabajar es login.defs


<code bash>
root@ubuntu:~# cd /etc
root@ubuntu:/etc# ls -l login.defs
root@ubuntu:/etc# cp login.defs login.defs.BKP
root@ubuntu:/etc# ls -l login.defs*
</code>

{{:sad:ubuntu:p6:01.png?400|}}

ahora toca editar **login.defs** y tenemos que buscar el parametro **PASS_MAX**

{{:sad:ubuntu:p6:02.png?400|}}

podemos modificar **PASS_MAS_DAYS** a 90

para indicar el minimo numero de dias para permitir el cambio entre dos contraseñas es **PASS_MIN_DAYS** que lo cambiamos a 1 y guardamos

{{:sad:ubuntu:p6:03.png?400|}}

ahora instalamos **libpam-cracklig** y verificamos que está instalado
<code bash>
root@ubuntu:~# apt-get install libpam-cracklib
root@ubuntu:~# ls -ld /usr/share/pam-configs/cracklib
</code>
{{:sad:ubuntu:p6:04.png?400|}}
{{:sad:ubuntu:p6:05.png?400|}}

Ahora vamos al fichero **common-password**, hacemos una copia de seguridad y lo editamos

{{:sad:ubuntu:p6:06.png?400|}}

Una vez abierto tenemos que buscar pam_cracklib y al final de difok=3 escribimos **ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1**

que significa esa linea?

  * **retry=3**, nos da 3 oportunidades para acertar la contraseña
  * **minlen=8**, cantidad minima de caracteres en la contraseña
  * **difok=3**, necesita 3 caracteres diferentes con respecto a la antigua contraseña para aceptar la nueva contraseña
  * **ucredit=-1**, La contraseña requiere al menos 1 manuscula.
  * **lcredit=-1**, al menos 1 minuscula
  * **dcredit=-1**, al menos 1 numero.
  * **ocredit=-1**, al menos 1 caracter especial.

{{:sad:ubuntu:p6:07.png?400|}}

{{:sad:ubuntu:p6:08.png?400|}}

Ahora para activar el historial de contraseñas vamos a **/etc/security**, reseteamos el historial y cambiamos los privilegios al fichero donde va a guardar las contraseñas

<code bash>
root@ubuntu:~# cd /etc/security
root@ubuntu:~# cat /dev/null > opasswd
root@ubuntu:~# chmod 600 opassed
root@ubuntu:~# chown root:root opassed
root@ubuntu:~# ls -l opassed*
</code>

{{:sad:ubuntu:p6:09.png?400|}}

El siguiente paso es editar el fichero common-password, buscar la palabra **pam_unix.so** y al final de la linea que pone **sha512** escribir **remember=12**

{{:sad:ubuntu:p6:10.png?400|}}
{{:sad:ubuntu:p6:11.png?400|}}
{{:sad:ubuntu:p6:12.png?400|}}
{{:sad:ubuntu:p6:13.png?400|}}

===== Impresión de pantalla que hay que entregar =====


<code bash>
grep "^PASS" /etc/login.defs
grep "pam_cracklib.so" /etc/pam.d/common-password
grep "pam_unix.so" /etc/pam.d/common-password
date
echo "tu nombre"
</code>