¿Cómo instalo un PAM y configuro una política de complejidad de contraseña adecuada en un sistema operativo Linux?

Instalación de un PAM

La política de complejidad de contraseñas no se puede comprobar si no se está ejecutando un módulo de autenticación conectable (PAM) en el sistema.

Para Debian o Ubuntu, ejecute el comando apt-get install libpam-cracklib como administrador para instalar un PAM.

Un PAM se instala y se ejecuta por defecto en CentOS, Fedora y EulerOS.

Configuración de una política de complejidad de contraseñas

Una política de complejidad de contraseña adecuada sería: la contraseña debe contener al menos ocho caracteres y debe contener letras mayúsculas, minúsculas, números y caracteres especiales.

Las configuraciones anteriores son requisitos básicos de seguridad. Para obtener más configuraciones de seguridad, ejecute los siguientes comandos para obtener información de ayuda en sistemas operativos Linux:

• Para CentOS, Fedora y EulerOS basados en Red Hat 7.0, ejecute:

  man pam_pwquality

• Para otros sistemas operativos Linux, ejecute:

  man pam_cracklib

• CentOS, Fedora y EulerOS
  1. Ejecute el siguiente comando para editar el archivo /etc/pam.d/system-auth:

     vi /etc/pam.d/system-auth

  2. Encuentre la siguiente información en el archivo:
     • Para CentOS, Fedora y EulerOS basados en Red Hat 7.0:

       password requisite pam_pwquality.so try_first_pass retry=3 type=

     • Para otros sistemas CentOS, Fedora y EulerOS:

       password requisite pam_cracklib.so try_first_pass retry=3 type=

  3. Agregue los siguientes parámetros y sus valores: minlen, dcredit, ucredit, lcredit y ocredit. Si el archivo ya tiene estos parámetros, cambie sus valores. Para obtener más información, consulte Tabla 1.

     Ejemplo:

     password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 type=

     

     Establezca dcredit, ucredit, lcredit y ocredit en números negativos.

     Tabla 1 Descripción de parámetro

     Parámetro	Descripción	Ejemplo
     minlen	Longitud mínima de una contraseña. Por ejemplo, si desea que la longitud mínima sea ocho, establezca el valor minlen en 8.	minlen=8
     dcredit	Número de dígitos Un valor negativo (por ejemplo, -N) indica el número (por ejemplo, N) de dígitos requeridos en una contraseña. Un valor positivo indica que no hay límite.	dcredit=-1
     ucredit	Número de letras mayúsculas Un valor negativo (por ejemplo, -N) indica el número (por ejemplo, N) de letras mayúsculas requeridas en una contraseña. Un valor positivo indica que no hay límite.	ucredit=-1
     lcredit	Número de letras minúsculas Un valor negativo (por ejemplo, -N) indica el número (por ejemplo, N) de letras minúsculas requeridas en una contraseña.A positive value indicates that there is no limit.	lcredit=-1
     ocredit	Número de caracteres especiales Un valor negativo (por ejemplo, -N) indica el número (por ejemplo, N) de caracteres especiales requeridos en una contraseña. Un valor positivo indica que no hay límite.	ocredit=-1

• Debian y Ubuntu
  1. Ejecute el siguiente comando para editar el archivo /etc/pam.d/common-password:

     vi /etc/pam.d/common-password

  2. Encuentre la siguiente información en el archivo:

     password requisite pam_cracklib.so retry=3 minlen=8 difok=3

  3. Agregue los siguientes parámetros y sus valores: minlen, dcredit, ucredit, lcredit y ocredit. Si el archivo ya tiene estos parámetros, cambie sus valores. Para obtener más información, consulte Tabla 1.

     Ejemplo:

     password requisite pam_cracklib.so retry=3 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=3