06 de abril de 2023

Extensión PostgreSQL credcheck

La extensión de PostgreSQL credcheck permite realizar comprobaciones generales de credenciales durante la creación del usuario, durante el cambio de contraseña y el cambio de nombre de usuario. Mediante esta extensión, es posible definir un conjunto de reglas:

• permitir un conjunto específico de credenciales
• rechazar cierto tipo de credenciales
• imponer el uso de una fecha de caducidad de la contraseña de un mínimo de un día
• definir una política de reutilización de contraseñas

La nueva versión 1.0 añade una característica importante llamada Política de Reutilización de Contraseñas y la posibilidad de imponer el uso de una fecha de caducidad para una contraseña. También evita que, en caso de error, PostgreSQL muestre la contraseña en los registros y corrige algunos problemas reportados por los usuarios en los últimos 6 meses.

• Se añade la función Política de Reutilización de Contraseñas. Esta opción utiliza un almacenamiento dedicado de memoria compartida para compartir el historial de contraseñas entre todas las bases de datos. Requiere que se cargue credcheck a través de shared_preload_libraries en postgresql.conf. El comportamiento de esta función puede controlarse mediante dos parámetros:
  • credcheck.password_reuse_history: número de diferentes contraseñas definido antes de que una contraseña pueda ser reutilizada.
  • credcheck.password_reuse_interval: tiempo necesario para que una contraseña pueda volver a utilizarse.
• Se añade la posibilidad de imponer el uso de una fecha de caducidad para una contraseña con una duración equivalente a un número determinado de días. Ejemplo: credcheck.password_valid_until = 60 la duración de la contraseña debe ser de al menos dos meses.
• Permite a credcheck comprobar el nombre de usuario en la sentencia CREATE USER sin la opción PASSWORD.
• Obliga a que la configuración de credcheck sea establecida/cambiada sólo por un superusuario.
• Corrige la detección de la cláusula VALID UNTIL en CREATE ROLE.
• Impide que PostgreSQL muestre la contraseña en el registro cuando ocurre un error en el CREATE/ALTER ROLE. Este comportamiento puede desactivarse configurando la variable personalizada credcheck.no_password_logging en off.
• Utiliza el código de error ERRCODE_INVALID_AUTHORIZATION_SPECIFICATION (28000) para la mayoría de los mensajes de error.

La lista completa de cambios está disponible aquí

Enlaces y créditos

credcheck es un proyecto abierto desarrollado por MigOps Inc bajo licencia PostgreSQL. Se agradece cualquier contribución que nos ayude a mejorar la herramienta. Pueden enviar sus ideas, peticiones de funcionalidades o parches a través de las herramientas de GitHub.

• Descargas:  https://github.com/MigOpsRepos/credcheck/releases/
• Soporte: utilicen la herramienta para reportes de GitHub en https://github.com/MigOpsRepos/credcheck/issues

Información sobre credcheck

La extensión credcheck es un proyecto desarrollado por MigOps Inc. MigOPs está especializada en migración a PostgreSQL y soporte para PostgreSQL. Contáctennos para más información.  

Documentación en https://github.com/MigOpsRepos/credcheck#readme