El otro día aprendimos a securizar la gestión de claves en Linux mediante PAM, pero olvidé comentar un punto importante dentro de la gestión de contraseñas en un sistema GNU/Linux, se trata de la caducidad y expiración de claves de usuario.
Mediante passwd podemos forzar que la clave de un usuario caduque pasados X días., Así mismo, también podemos configurar el número de días que el usuario será avisado antes del cambio obligado de clave y el número de días una vez pasado este límite hasta que la cuenta se desactive.
Estos tres parámetros son los siguientes:
-x, --maxdays DÍAS_MÁX establece a DÍAS_MÁX el número máximo de días antes del cambio de la contraseña -w, --warndays DÍAS_AVISO establece los días de aviso de expiración a DÍAS_AVISO -i, --inactive INACTIVO establece la inactividad de la contraseña tras su expiración a INACTIVO
Vamos a poner un ejemplo, si quisieramos que la clave del usuario «pruebas» caducara pasados 180 días, que le avisara durante los cinco últimos días de validez de la clave, y que si tras pasados 15 días sin modificar la clave se bloqueara, utilizaríamos la siguiente línea de comandos:
# passwd pruebas -x 180 -w 5 -i 15