Linux: cómo configurar los ajustes predeterminados de caducidad de la contraseña para una nueva cuenta

Si está ejecutando un sistema Linux, una de las tareas que debe realizar es administrar las contraseñas de configuración de su cuenta de usuario. Como parte de este proceso, probablemente necesitará administrar la configuración de su cuenta nueva y actual.

La configuración de la contraseña para las cuentas existentes se administra mediante el comando «contraseñas», aunque existen otras opciones. Puede configurar los valores predeterminados de la cuenta en el futuro, pero evite tener que cambiar manualmente los valores predeterminados para cada nueva cuenta.

Los ajustes se configuran en el archivo de configuración «/etc/login.defs». Debido a que el archivo está en el directorio «/ etc», necesitará cambiar los permisos de root. Para evitar problemas a la hora de realizar cambios, no puedes guardarlos porque no tienes permisos, asegúrate de iniciar tu editor de texto favorito con sudo.

La sección que necesita está cerca del centro del archivo y se titula «Comprobaciones de antigüedad de la contraseña». Hay tres sitios, «PASS_MAX_DAYS», «PASS_MIN_DAYS» y «PASS_WARN_AGE». Respectivamente, se utilizan para determinar cuántos días puede ser válida una contraseña antes de que se restablezca, cuánto tiempo después de que se cambie otra contraseña y cuántos días recibe una advertencia antes de que caduque la contraseña.


Los valores de edad predeterminados de la contraseña se pueden encontrar y configurar en el archivo «/etc/login.defs».

El «PASS_MAX_DAYS» predeterminado es 99999, que se utiliza para indicar que las contraseñas no deben caducar automáticamente. La configuración predeterminada para «PASS_MIN_DAYS» es 0, lo que significa que los usuarios pueden cambiar su contraseña cuando lo deseen.

Consejo: un límite de antigüedad de la contraseña generalmente se combina con un mecanismo de historial de contraseñas para evitar que los usuarios cambien su contraseña y luego la restauren inmediatamente a lo que era antes.

La configuración predeterminada para ‘PASS_WARN_AGE’ es siete días. Este valor solo se utiliza si la contraseña de un usuario está a punto de caducar.

Cómo configurar los ajustes predeterminados de caducidad de la contraseña para una nueva cuenta

Si desea establecer estos valores para que las contraseñas caduquen automáticamente cada 90 días, aplique una edad mínima de un día y notifique a los usuarios 14 días antes de la caducidad, necesita los valores «90», Establecer «1» y «14 «. „, Respectivamente. Una vez que haya realizado los cambios deseados, guarde el archivo. De forma predeterminada, los ajustes configurados se aplicarán a todas las cuentas recién creadas después de que se actualice el archivo.


Los valores ’90’, ‘1’ y ’14’, respectivamente, configuran las contraseñas para que expiren automáticamente cada 90 días, cambien como máximo una vez al día y notifiquen a los usuarios que cambian la contraseña en un plazo de catorce días. antes de la fecha límite.

Nota: A menos que la política lo requiera, debe evitar las contraseñas que caducan automáticamente con el tiempo. NCSC, NIST y la comunidad de ciberseguridad en general recomiendan que las contraseñas solo caduquen cuando exista una sospecha razonable de que están comprometidas. Esto se debe a una investigación que ha demostrado que el restablecimiento regular de contraseñas esenciales ejerce presión sobre los usuarios para que elijan contraseñas más débiles y formales que sean más fáciles de medir. Cuando los usuarios no se ven obligados a crear y recordar nuevas contraseñas de forma regular, es mejor crear contraseñas más largas, complejas y seguras.