Alfonso Javier Aznar Montoya 2ºASIR

1. Implementación de políticas de seguridad para el inicio de sesión.

Editamos el fichero /etc/login.defs

• Nano /etc/login.defs

Cambiamos los siguientes parámetros:

• PASS_MAX_DAYS 60

(Indica el número máximo de días en el que el usuario debe cambiar su contraseña).

• PASS_MIN_DAYS 1

(Numero mínimo de días en el que el usuario pude volver a cambiar la clave).

• PASS_WARN_AGE 15

(El número de días de antelación con el que te avisa de que debes cambiar la contraseña).

Practica 3.2 SAD

Alfonso Javier Aznar Montoya 2ºASIR

1. 2. Si un usuario no cambia su contraseña 2 semanas después de haber caducado, se recomienda bloquear la cuenta. De esta forma el sistema desactivará las cuentas de usuario que no estén siendo utilizadas y minimizaremos el riesgo de accesos indebidos, para ello se hace lo siguiente:

Editamos /etc/default/useradd

• Nano /etc/default/useradd

Cambiamos los siguientes parámetros:

• INACTIVE =14

(Si después de caducar, pasan 14 días se bloquea la cuenta).

Si necesitamos activar la cuenta deberemos emplear el siguiente código: chage ‐E ‐1 unusuario passwd unusuario

Practica 3.2 SAD

Alfonso Javier Aznar Montoya 2ºASIR

3. Con el objetivo de que no se reutilicen las mismas contraseñas haremos lo siguiente en el sistema.

Instalamos el paquete apt‐get install libpam‐cracklib y despues lo actualizamos con la siguiente orden update‐cracklib

Una vez tenemos instalados los paquetes editamos el siguiente fichero /etc/pam.d/common-password

Practica 3.2 SAD

Alfonso Javier Aznar Montoya 2ºASIR

Deberemos dejarlo con el siguiente contenido:

password required pam_cracklib.so retry=3 minlen=8 difok=1 lcredit=0 ucredit=1 dcredit=1 ocredit=2

password requisite pam_unix.so use_authtok obscure md5 remember=12

Yo en mi caso he comentado todas las lineas y he puesto las que dice el documento pdf

Practica 3.2 SAD

Alfonso Javier Aznar Montoya 2ºASIR

Gestión de Acceso

Consiste en que cuando un usuario pone 3 veces mal su contraseña, su cuenta se bloquea durante 30 segundos, es decir durante esos 30 segundos aunque ponga bien su clave no tendrá acceso.

Para esto editamos el fichero /etc/pam.d/common-auth y añadimos lo siguiente:

# 3 auth attempts, after that user will be locked for 30 seconds for each new failed attempt

auth required pam_tally.so onerr=succeed deny=3 unlock_time=30 per_user

auth sufficient pam_unix.so

auth sufficient pam_opie.so

auth required pam_deny.so

# Reset user lock if auth suceeds

account required pam_tally.so onerr=succeed

Para ver el estado de los usuarios utilizamos:

pam_tally

pam_tally ‐‐user unsusuario

faillog ‐a

faillog ‐u unusuario

Para desbloquear un usuario:

pam_tally ‐‐user unusuario ‐‐reset

faillog ‐u unusuario ‐r

Si lo que queremos es crear un usuario con unas determinadas caracteristicas podemos emplear la siguiente orden:

useradd ‐d /home/unusuario ‐m ‐G admin,users ‐K PASS_MAX_DAYS=60,PASS_MIN_DAYS=1,PASS_WARN_AGE=15,UMASK=0022 ‐s /bin/bash miusuario

passwd unusuario

Practica 3.2 SAD

Alfonso Javier Aznar Montoya 2ºASIR

Si a la hora de generar contraseñas no se nos ocurren podemos implementar el siguiente paquete que las genera aleatoriamente.

aptitude install makepasswd

Para que nos genere una contraseña de 15 caracteres ponemos el siguiente comando:

Makepasswd -chars=15

Con la opccion –crypt nos devuelve la contraseña encriptada

Protección del grub mediante contraseña

No me funciona la protección del grub con contraseña ya que sigo los siguientes pasos y me da el siguente error.

Puede configurar GRUB para solucionar los primeros dos problemas istados en la añadiendo una directiva de contraseña a su archivo de configuración. Para hacer

esto, primero seleccione una contraseña, luego abra un indicador de comandos del shell, conéctese como root y escriba:

Código:

#/sbin/grub‐md5‐crypt

Practica 3.2 SAD