Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
Control de acceso al sistema (mapa de tareas)
Protección de inicios de sesión y contraseñas (mapa de tareas)
Protección de inicios de sesión y contraseñas
Cómo mostrar el estado de inicio de sesión de un usuario
Cómo visualizar usuarios sin contraseñas
Cómo deshabilitar temporalmente inicios de sesión de usuarios
Cómo supervisar intentos de inicio de sesión fallidos
Cómo supervisar todos los intentos de inicio de sesión fallidos
Cómo crear una contraseña de marcación telefónica
Cómo deshabilitar temporalmente inicios de sesión de marcación telefónica
Cambio del algoritmo de contraseña (mapa de tareas)
Cambio de algoritmo predeterminado para cifrado de contraseña
Cómo especificar un algoritmo para cifrado de contraseña
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS+
Cómo especificar un nuevo algoritmo de contraseña para un dominio LDAP
Cómo instalar un módulo de cifrado de contraseña de un tercero
Supervisión y restricción de superusuario (mapa de tareas)
Supervisión y restricción de superusuario
Cómo supervisar quién está utilizando el comando su
Cómo restringir y supervisar inicios de sesión de superusuario
SPARC: control de acceso a hardware del sistema (mapa de tareas)
Control de acceso a hardware del sistema
Cómo requerir una contraseña para el acceso al hardware
Cómo deshabilitar una secuencia de interrupción del sistema
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
Puede limitar inicios de sesión remotos y solicitar a los usuarios que tengan contraseñas. También puede supervisar intentos de acceso fallidos y deshabilitar inicios de sesión temporalmente.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
# logins -x -l username
Muestra un conjunto ampliado de información de estado de inicio de sesión.
Muestra el estado de inicio de sesión para el usuario especificado. La variable nombre_usuario es el nombre de inicio de sesión de un usuario. Varios nombres de inicio de sesión deben especificarse en una lista separada por comas.
El comando logins utiliza la base de datos de contraseñas adecuada para obtener el estado de inicio de sesión de un usuario. La base de datos puede ser el archivo /etc/passwd local o una base de datos de contraseñas para el servicio de nombres. Para obtener más información, consulte la página del comando man logins(1M).
Ejemplo 3-1 Visualización del estado de inicio de sesión de un usuario
En el ejemplo siguiente, se muestra el estado de inicio de sesión del usuario rimmer.
# logins -x -l rimmer rimmer 500 staff 10 Annalee J. Rimmer /export/home/rimmer /bin/sh PS 010103 10 7 -1
Identifica el nombre de inicio de sesión del usuario.
Identifica el ID de usuario (UID).
Identifica el grupo principal del usuario.
Identifica el ID de grupo (GID).
Identifica el comentario.
Identifica el directorio principal del usuario.
Identifica el shell de inicio de sesión.
Especifica la información de caducidad de las contraseñas:
Última fecha en la que se cambió la contraseña
Número de días que son necesarios entre los cambios
Número de días antes de que un cambio sea necesario
Período de advertencia
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
# logins -p
La opción -p muestra una lista de usuarios que no tienen contraseñas. El comando logins utiliza la base de datos de contraseñas del sistema local, a menos que un servicio de nombres esté habilitado.
Ejemplo 3-2 Visualización de usuarios sin contraseñas
En el siguiente ejemplo, el usuario pmorph no tiene una contraseña.
# logins -p pmorph 501 other 1 Polly Morph #
Deshabilite temporalmente inicios de sesión de usuarios durante el cierre o el mantenimiento de rutina del sistema. Los inicios de sesión de superusuarios no se ven afectados. Para obtener más información, consulte la página del comando man nologin(4).
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
# vi /etc/nologin
Ejemplo 3-3 Deshabilitación de inicios de sesión de usuarios
En este ejemplo, se notifica a los usuarios que el sistema no está disponible.
# vi /etc/nologin (Add system message here) # cat /etc/nologin ***No logins permitted.*** ***The system will be unavailable until 12 noon.***
También puede llevar el sistema al nivel de ejecución 0, modo de un solo usuario, para deshabilitar inicios de sesión. Para obtener información sobre cómo llevar el sistema al modo de un solo usuario, consulte el Capítulo 10, Cierre de un sistema (tareas) de Guía de administración del sistema: administración básica.
Este procedimiento captura intentos de inicio de sesión fallidos de ventanas de terminales. Este procedimiento no captura inicios de sesión fallidos de un intento de inicio de sesión o CDE.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
# touch /var/adm/loginlog
# chmod 600 /var/adm/loginlog
# chgrp sys /var/adm/loginlog
Por ejemplo, inicie sesión en el sistema cinco veces con la contraseña incorrecta. A continuación, visualice el archivo /var/adm/loginlog.
# more /var/adm/loginlog jdoe:/dev/pts/2:Tue Nov 4 10:21:10 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:21 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:30 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:40 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:49 2010 #
El archivo loginlog contiene una entrada para cada intento fallido. Cada entrada contiene el nombre de inicio de sesión del usuario, el dispositivo TTY y la hora del intento fallido. Si una persona realiza menos de cinco intentos incorrectos, no se registran intentos fallidos.
Un archivo loginlog cada vez más grande puede indicar un intento de entrar ilegalmente al sistema del equipo. Por lo tanto, compruebe y borre el contenido de este archivo con regularidad. Para obtener más información, consulte la página del comando man loginlog(4).
Este procedimiento captura en un archivo syslog todos los intentos de inicio de sesión fallidos.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Edite el archivo /etc/default/login para cambiar la entrada. Asegúrese de que SYSLOG=YES no tenga comentarios.
# grep SYSLOG /etc/default/login # SYSLOG determines whether the syslog(3) LOG_AUTH facility # should be used SYSLOG=YES … SYSLOG_FAILED_LOGINS=0 #
# touch /var/adm/authlog
# chmod 600 /var/adm/authlog
# chgrp sys /var/adm/authlog
Los fallos deben enviarse al archivo authlog.
Por ejemplo, como usuario común, inicie sesión en el sistema con la contraseña incorrecta. A continuación, en el rol de administrador principal o como superusuario, visualice el archivo /var/adm/authlog.
# more /var/adm/authlog Nov 4 14:46:11 example1 login: [ID 143248 auth.notice] Login failure on /dev/pts/8 from example2, stacey #
Ejemplo 3-4 Registro de intentos de acceso después de tres fallos de inicio de sesión
Siga el procedimiento anterior, pero, en este caso, establezca el valor de SYSLOG_FAILED_LOGINS en 3, en el archivo /etc/default/login.
Ejemplo 3-5 Cierre de conexión después de tres fallos de inicio de sesión
Elimine el comentario de la entrada RETRIES en el archivo /etc/default/login y, luego, establezca el valor de RETRIES en 3. Las ediciones surten efecto inmediatamente. Después de tres reintentos de inicio en una sesión, el sistema cierra la conexión.
Precaución - Al establecer una contraseña de marcación telefónica por primera vez, asegúrese de permanecer conectado, al menos, a un puerto. Pruebe la contraseña en un puerto diferente. Si cierra la sesión para probar la nueva contraseña, es posible que no pueda iniciar la sesión de nuevo. Si sigue conectado a otro puerto, puede volver y corregir el error. |
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Incluya todos los puertos que se están protegiendo con contraseñas de marcación telefónica. El archivo /etc/dialups debe ser similar al siguiente:
/dev/term/a /dev/term/b /dev/term/c
Incluya programas de shell que un usuario podría estar ejecutando en el inicio de sesión, por ejemplo, uucico, sh, ksh y csh. El archivo /etc/d_passwd debe ser similar al siguiente:
/usr/lib/uucp/uucico:encrypted-password: /usr/bin/csh:encrypted-password: /usr/bin/ksh:encrypted-password: /usr/bin/sh:encrypted-password: /usr/bin/bash:encrypted-password:
Más adelante, en el procedimiento, va a agregar la contraseña cifrada para cada programa de inicio de sesión.
# chown root /etc/dialups /etc/d_passwd
# chgrp root /etc/dialups /etc/d_passwd
# chmod 600 /etc/dialups /etc/d_passwd
# useradd username
# passwd username New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for username
# grep username /etc/shadow > username.temp
Elimine todos los campos, excepto la contraseña cifrada. El segundo campo contiene la contraseña cifrada.
Por ejemplo, en la siguiente línea, la contraseña cifrada es U9gp9SyA/JlSk.
temp:U9gp9SyA/JlSk:7967:::::7988:
# userdel username
Puede crear una contraseña diferente para cada shell de inicio de sesión. También puede utilizar la misma contraseña para cada shell de inicio de sesión.
Debe asegurarse de que sus medios para informar a los usuarios no puedan manipularse.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
/usr/bin/sh:*: