Cómo comprobar si tus usuarios utilizan contraseñas seguras

Si nosotros somos el único usuario de nuestra máquina, probablemente no tengamos inconveniente en asegurar una buena contraseña con un mínimo de 8 caracteres, que no esté sacada de ningún diccionario, contenga números y letras y caracteres especiales.  Pero en casos en máquina multiusuario, es muy habitual encontrar usuarios que eligen malas contraseñas, a veces incluso la misma que el login de usuario, otras veces demasiado corta, sacada de diccionario, etc.   Si tus usuarios están utilizando este tipo de contraseñas, tu servidor no tiene la seguridad que debería.  Nosotros podemos comprobar de forma sencilla la robustez de nuestro fichero /etc/passwd

Instalamos John the ripper:

Debian / ubuntu:
$ sudo apt-get install john

Red Hat / Fedora / CentOS:
Descargamos o elegimos el paquete RPM de aquí

# wget http://dag.wieers.com/rpm/packages/john/john-1.7.0.2-3.el5.rf.i386.rpm
# rpm -ivh john-1.7.0.2-3.el5.rf.i386.rpm

Utilizamos el comando unshadow para combinar /etc/passwd y /etc/shadow de modo que John the ripper pueda utilizarlo:

# unshadow /etc/passwd /etc/shadow > crack.password.db

Y dejamos que John trabaje:

# john crack.password.db

Si queremos almacenar el resultado en un fichero:

# john crack.password.db > badpassword