Alfonso Javier Aznar Montoya 2ºASIR · 2012. 1. 15. · Alfonso Javier Aznar Montoya 2ºASIR 3....
Transcript of Alfonso Javier Aznar Montoya 2ºASIR · 2012. 1. 15. · Alfonso Javier Aznar Montoya 2ºASIR 3....
Alfonso Javier Aznar Montoya 2ºASIR
1. Implementación de políticas de seguridad para el inicio de sesión.
Editamos el fichero /etc/login.defs
• Nano /etc/login.defs
Cambiamos los siguientes parámetros:
• PASS_MAX_DAYS 60
(Indica el número máximo de días en el que el usuario debe cambiar su contraseña).
• PASS_MIN_DAYS 1
(Numero mínimo de días en el que el usuario pude volver a cambiar la clave).
• PASS_WARN_AGE 15
(El número de días de antelación con el que te avisa de que debes cambiar la contraseña).
Practica 3.2 SAD
Alfonso Javier Aznar Montoya 2ºASIR
1. 2. Si un usuario no cambia su contraseña 2 semanas después de haber caducado, se recomienda bloquear la cuenta. De esta forma el sistema desactivará las cuentas de usuario que no estén siendo utilizadas y minimizaremos el riesgo de accesos indebidos, para ello se hace lo siguiente:
Editamos /etc/default/useradd
• Nano /etc/default/useradd
Cambiamos los siguientes parámetros:
• INACTIVE =14
(Si después de caducar, pasan 14 días se bloquea la cuenta).
Si necesitamos activar la cuenta deberemos emplear el siguiente código: chage ‐E ‐1 unusuario passwd unusuario
Practica 3.2 SAD
Alfonso Javier Aznar Montoya 2ºASIR
3. Con el objetivo de que no se reutilicen las mismas contraseñas haremos lo siguiente en el sistema.
Instalamos el paquete apt‐get install libpam‐cracklib y despues lo actualizamos con la siguiente orden update‐cracklib
Una vez tenemos instalados los paquetes editamos el siguiente fichero /etc/pam.d/common-password
Practica 3.2 SAD
Alfonso Javier Aznar Montoya 2ºASIR
Deberemos dejarlo con el siguiente contenido:
password required pam_cracklib.so retry=3 minlen=8 difok=1 lcredit=0 ucredit=1 dcredit=1 ocredit=2
password requisite pam_unix.so use_authtok obscure md5 remember=12
Yo en mi caso he comentado todas las lineas y he puesto las que dice el documento pdf
Practica 3.2 SAD
Alfonso Javier Aznar Montoya 2ºASIR
Gestión de Acceso
Consiste en que cuando un usuario pone 3 veces mal su contraseña, su cuenta se bloquea durante 30 segundos, es decir durante esos 30 segundos aunque ponga bien su clave no tendrá acceso.
Para esto editamos el fichero /etc/pam.d/common-auth y añadimos lo siguiente:
# 3 auth attempts, after that user will be locked for 30 seconds for each new failed attempt
auth required pam_tally.so onerr=succeed deny=3 unlock_time=30 per_user
auth sufficient pam_unix.so
auth sufficient pam_opie.so
auth required pam_deny.so
# Reset user lock if auth suceeds
account required pam_tally.so onerr=succeed
Para ver el estado de los usuarios utilizamos:
pam_tally
pam_tally ‐‐user unsusuario
faillog ‐a
faillog ‐u unusuario
Para desbloquear un usuario:
pam_tally ‐‐user unusuario ‐‐reset
faillog ‐u unusuario ‐r
Si lo que queremos es crear un usuario con unas determinadas caracteristicas podemos emplear la siguiente orden:
useradd ‐d /home/unusuario ‐m ‐G admin,users ‐K PASS_MAX_DAYS=60,PASS_MIN_DAYS=1,PASS_WARN_AGE=15,UMASK=0022 ‐s /bin/bash miusuario
passwd unusuario
Practica 3.2 SAD
Alfonso Javier Aznar Montoya 2ºASIR
Si a la hora de generar contraseñas no se nos ocurren podemos implementar el siguiente paquete que las genera aleatoriamente.
aptitude install makepasswd
Para que nos genere una contraseña de 15 caracteres ponemos el siguiente comando:
Makepasswd -chars=15
Con la opccion –crypt nos devuelve la contraseña encriptada
Protección del grub mediante contraseña
No me funciona la protección del grub con contraseña ya que sigo los siguientes pasos y me da el siguente error.
Puede configurar GRUB para solucionar los primeros dos problemas istados en la añadiendo una directiva de contraseña a su archivo de configuración. Para hacer
esto, primero seleccione una contraseña, luego abra un indicador de comandos del shell, conéctese como root y escriba:
Código:
#/sbin/grub‐md5‐crypt
Practica 3.2 SAD