1. `CHAGE` (Cambiar información de vencimiento de contraseña de usuario):
Este es el comando principal para administrar la política de envejecimiento de contraseña. Le permite establecer varios aspectos del vencimiento de la contraseña, incluida la última fecha de cambio, edad mínima, edad máxima, período de advertencia y período de inactividad.
* Establezca la edad de contraseña máxima (requerida para cambiar):
`` `Bash
sudo chage -m
`` `` ``
* `-M
* `<
* Ejemplo: `sudo chage -m 90 user1` (establece la edad máxima de contraseña para el usuario1 a 90 días)
* Establezca la fecha del último cambio de contraseña:
`` `Bash
sudo CHAGE -D
`` `` ``
* `-d
* Ejemplo: Supongamos que desea que la contraseña de User2 expire el 2024-12-31 y hoy sea 2024-11-01. Lo harías:
`` `Bash
sudo CHAGE -D 2024-11-01 User2 # Establezca la última fecha cambiada hasta hoy
Sudo Cheage -M 60 User2 # Establezca la edad máxima en 60 días (expire el 2024-12-31)
`` `` ``
* Establezca el período de inactividad de contraseña:
`` `Bash
sudo CHAGE -I
`` `` ``
* `-I
* Ejemplo: `Sudo Cheage -I 7 User3` (establece el período de inactividad para el usuario3 a 7 días)
* Establezca los días de advertencia antes del vencimiento:
`` `Bash
sudo chage -w
`` `` ``
* `-W
* Ejemplo: `Sudo Cheage -W 7 User4` (establece el período de advertencia para el usuario4 a 7 días)
* Ver Política de envejecimiento de contraseña actual:
`` `Bash
sudo Cheage -l
`` `` ``
* `-L`:Muestra la información de envejecimiento de la cuenta, incluida la última fecha de cambio, edad mínima, edad máxima, período de advertencia y período de inactividad. Esto es esencial para verificar sus cambios.
2. `passWD` (cambiar la contraseña de usuario):
Si bien `passWD` es principalmente para cambiar las contraseñas, * implícitamente * interactúa con la política de vencimiento de contraseña. Cuando un usuario cambia su contraseña usando `passWD`, se actualiza la fecha de" última vez cambiado "y el cálculo máximo de edad comienza desde ese punto. No puede usarlo para establecer directamente la edad máxima, el período de advertencia, etc.
* Forzar a un usuario a cambiar su contraseña en el siguiente inicio de sesión (configurando la última fecha cambiada en 0):
`` `Bash
sudo passwd -e
`` `` ``
* `-e`:expira la contraseña inmediatamente, forzando un cambio al siguiente inicio de sesión. Esto establece efectivamente la última fecha de cambio a cero días hace días.
* Ejemplo: `sudo passwd -e user5`
Consideraciones importantes:
* Privilegios raíz: La mayoría de estos comandos (especialmente 'Cheage` al modificar a otros usuarios) requieren privilegios raíz. Use `sudo` antes del comando.
* PAM (módulos de autenticación conectables): La expiración de la contraseña está fuertemente influenciada por la configuración de PAM. El directorio `etc/pam.d/` contiene archivos de configuración que determinan cómo se maneja la autenticación (incluidos los cambios de contraseña y el vencimiento). Si bien generalmente no necesita editar estos archivos directamente para establecer expiraciones simples con 'Cheage', la comprensión de PAM es crucial para escenarios más complejos.
* `/etc/login.defs`: Este archivo contiene la configuración predeterminada de todo el sistema para la creación de la cuenta, incluidas las políticas de vencimiento de contraseña. Puede establecer valores predeterminados aquí, pero la configuración de 'Cheage` para usuarios individuales anulará estos valores predeterminados. Configuración de clave en `/etc/login.defs` son:
* `Pass_max_days`:número máximo de días se puede usar una contraseña.
* `Pass_min_days`:número mínimo de días permitido entre los cambios de contraseña.
* `Pass_warn_age`:Número de días advertencia antes de que expire una contraseña.
* Seguridad: Considere cuidadosamente su política de vencimiento de contraseña. Forzar cambios frecuentes en contraseña puede llevar a los usuarios a elegir contraseñas más débiles que sean más fáciles de recordar. Equilibrar la seguridad con usabilidad. Considere otras medidas de seguridad como la autenticación multifactor.
* Prueba: Siempre pruebe la configuración de vencimiento de su contraseña en una cuenta de usuario de prueba * antes de * aplicarlos a los sistemas de producción. Verifique que las advertencias aparezcan como se esperaba y que el vencimiento de la contraseña funcione correctamente.
* Comunicación de usuario: Informe con anticipación a los usuarios sobre cualquier cambio en la política de vencimiento de contraseña para evitar la frustración y las llamadas de soporte.
Escenario de ejemplo:
Supongamos que desea establecer la siguiente política de contraseña para `User6`:
* La contraseña expira después de 60 días.
* El usuario recibe una advertencia 7 días antes del vencimiento.
* La cuenta se vuelve inactiva si la contraseña no se cambia dentro de los 3 días posteriores al vencimiento.
Aquí está la secuencia de comandos que usaría:
`` `Bash
sudo chage -m 60 user6 # Establecer la edad de contraseña máxima a 60 días
sudo chage -w 7 user6 # establecer el período de advertencia a 7 días
sudo cheage -i 3 user6 # establecer el período de inactividad a 3 días
sudo chage -l user6 # verificar la configuración
`` `` ``
Recuerde verificar siempre su configuración usando `CHAGE -L` después de hacer cambios.
En resumen, 'Cheage` es el comando más potente y flexible para controlar la vencimiento de la contraseña en Linux. Comprender sus opciones y cómo interactúan con otras configuraciones del sistema es esencial para administrar la seguridad de las cuentas de usuario.