Para quem usa o AD (Active Directory) da Microsoft tem algumas politicas de senhas como por exemplo, tempo de vida da senha e tamanho da senha, que ajuda muito na segurança da rede.

Para quem como eu gosta da liberdade, da rapidez e estabilidade que só um servidor Linux pode proporcionar segue uma dica para politica de senha no samba.

Apresento o Utilitário pdbedit.

Para utiliza-lo pasta colocar na seção global a seguinte opção:


Para que a senha do usuário expire a cada 45 dias e ele seja obrigado a mudá-la:

$ pdbedit -P "maximum password age" -C 3888000

Para que o usuário só possa mudar a senha após 7 dias depois da última troca:

$ pdbedit -P "minimum password age" -C 604800

O tamanho mínimo da senha será de 8 caracteres:

$ pdbedit -P "min password length" -C 8

Neste caso ele não poderá utilizar as últimas 3 senhas. Em conjunto com o "minimum password age" esta opção torna a política de senhas muito mais seguras:

$ pdbedit -P "password history" -C 3

A senha de root não expira:

$ pdbedit -c "[X ]" -u root

Caso seja necessário altera o nome de exibição no menu iniciar do user luis:

$ pdbedit -r --fullname="Viva o Linux" luis

Lista as informações do usuário:

$ pdbedit -Lv luis

Esse comando define que depois de 3 tentativas de login erro a conta fica bloqueada por um período, com isso que não sabe a senha não vai poder ficar chutando a senha quantas vezes quiser:

$ pdbedit -P "bad lockout attempt" -C 3

Nessa opção definimos o tempo de duração do bloqueio, nesse caso de 30 minutos, para definir que o bloqueio seja feito de forma manual pela área de suporte basta no lugar de "1800" colocar "-1" (menos um).

$ pdbedit -P "lockout duration" -C 1800

Uma das opções mais importante e fazer que o usuário troque sua senha no primeiro login, isso evita que o usuário fique utilizando a senha padrão:

$ net sam set pwdmustchangenow luis yes

Outra dica e quando criar a primeira senha criar uma senha por exemplo 12345 assim ela e menor que a numero minimo exigido pela politica de senha assim o usuário não pode tentar reutilizá-la.

Obs.: Os tempos são calculados em segundos isso pode ser feito através do conversor que muitos celulares tem ou na mão mesmo.

Se der um erro na hora de criar qualquer uma das politicas acima é só apagar o arquivo "account_policy.tdb" no Debian fica em "/var/lib/samba/". Ou então procurar na sua distro, use os comandos:

# updatedb
# locate account_policy.tdb

[1] Comentário enviado por c4ldas em 08/09/2011 - 02:58h:

Bem legal essa lista. Do tdbedit eu só usava os comandos de listar informações e algum outro que não estou lembrando agora. Bom, já adicionei esse tópico nos meus feeds favoritos do Google Reader.

[2] Comentário enviado por tiekookeit em 08/09/2011 - 08:19h:

show!

vlw pela dica

[3] Comentário enviado por Thalysson S em 08/09/2011 - 15:03h:

Boa dica !