Políticas de contraseñas en Linux

La política de contraseñas en Linux es una de las medidas de seguridad más importantes para proteger usuarios, servicios y datos dentro de un sistema. En entornos donde varias personas tienen acceso, una contraseña débil puede convertirse en la puerta de entrada para ataques, accesos no autorizados o filtraciones de información.

Linux permite definir reglas claras sobre cómo deben ser las contraseñas: longitud mínima, uso de caracteres especiales, tiempo de validez e incluso bloqueo de cuentas tras varios intentos fallidos. Estas configuraciones ayudan a reducir riesgos sin necesidad de herramientas externas complejas.

En esta guía verás cómo funciona la política de contraseñas en Linux y cómo configurarla paso a paso para reforzar la seguridad de tu sistema.

👉 Y recuerda, si quieres aprender más de Linux, pincha en este curso de Linux gratis

👉 También te dejo por aquí una guía de comandos Linux por categorías

Definición de política de contraseñas

Es el conjunto de configuraciones que obligan a los usuarios a crear contraseñas seguras y a renovarlas periódicamente. Su objetivo es reducir el riesgo de:

• Contraseñas débiles
• Reutilización de contraseñas antiguas
• Accesos no autorizados
• Ataques automatizados

En Linux, estas reglas se gestionan principalmente mediante módulos de autenticación llamados PAM (Pluggable Authentication Modules).

Reglas comunes en política de contraseñas

Una buena política suele incluir:

• Longitud mínima (por ejemplo, 8 o más caracteres)
• Uso de mayúsculas y minúsculas
• Inclusión de números
• Inclusión de caracteres especiales
• Tiempo máximo antes de obligar a cambiar la contraseña
• Bloqueo tras varios intentos fallidos
• Si tienes teclado español, incluye la letra Ñ

Configurar política de contraseñas en Linux

La política y la complejidad de las contraseñas se controla con el módulo pam_pwquality.

En concreto en este archivo:

/etc/security/pwquality.conf

/etc/security/pwquality.conf

Opciones importantes:

minlen = 12        # Longitud mínima
dcredit = -1       # Al menos un número
ucredit = -1       # Al menos una mayúscula
lcredit = -1       # Al menos una minúscula
ocredit = -1       # Al menos un símbolo

minlen = 12        # Longitud mínima
dcredit = -1       # Al menos un número
ucredit = -1       # Al menos una mayúscula
lcredit = -1       # Al menos una minúscula
ocredit = -1       # Al menos un símbolo

Esto obliga a crear contraseñas fuertes al usar el comando passwd.

Caducidad de contraseñas

Linux permite definir cuánto tiempo puede usarse una contraseña antes de obligar a cambiarla.

Archivo principal:

sudo nano /etc/login.defs

sudo nano /etc/login.defs

Parámetros importantes:

PASS_MAX_DAYS   90   # Días máximos antes de cambiar contraseña
PASS_MIN_DAYS   1    # Días mínimos entre cambios
PASS_WARN_AGE   7    # Aviso antes de caducar

PASS_MAX_DAYS   90   # Días máximos antes de cambiar contraseña
PASS_MIN_DAYS   1    # Días mínimos entre cambios
PASS_WARN_AGE   7    # Aviso antes de caducar

También puedes aplicarlo a un usuario específico:

sudo chage -M 90 -m 1 -W 7 usuario

sudo chage -M 90 -m 1 -W 7 usuario

Bloqueo por intentos fallidos

Para evitar ataques de fuerza bruta se puede bloquear una cuenta tras varios intentos incorrectos usando pam_faillock.

En concreto se gestiona desde este archivo:

sudo nano /etc/pam.d/common-auth

sudo nano /etc/pam.d/common-auth

Ejemplo de configuración:

auth required pam_faillock.so preauth silent deny=5 unlock_time=600
auth [default=die] pam_faillock.so authfail deny=5 unlock_time=600

auth required pam_faillock.so preauth silent deny=5 unlock_time=600
auth [default=die] pam_faillock.so authfail deny=5 unlock_time=600

Esto bloquea la cuenta tras 5 intentos fallidos durante 10 minutos.