Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
Control de acceso al sistema (mapa de tareas)
Protección de inicios de sesión y contraseñas (mapa de tareas)
Protección de inicios de sesión y contraseñas
Cómo mostrar el estado de inicio de sesión de un usuario
Cómo visualizar usuarios sin contraseñas
Cómo deshabilitar temporalmente inicios de sesión de usuarios
Cómo supervisar intentos de inicio de sesión fallidos
Cómo supervisar todos los intentos de inicio de sesión fallidos
Cómo crear una contraseña de marcación telefónica
Cómo deshabilitar temporalmente inicios de sesión de marcación telefónica
Cambio del algoritmo de contraseña (mapa de tareas)
Cambio de algoritmo predeterminado para cifrado de contraseña
Cómo especificar un algoritmo para cifrado de contraseña
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS+
Cómo especificar un nuevo algoritmo de contraseña para un dominio LDAP
Cómo instalar un módulo de cifrado de contraseña de un tercero
Supervisión y restricción de superusuario (mapa de tareas)
Supervisión y restricción de superusuario
Cómo supervisar quién está utilizando el comando su
Cómo restringir y supervisar inicios de sesión de superusuario
SPARC: control de acceso a hardware del sistema (mapa de tareas)
Control de acceso a hardware del sistema
Cómo requerir una contraseña para el acceso al hardware
Cómo deshabilitar una secuencia de interrupción del sistema
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
De manera predeterminada, las contraseñas de usuario se cifran con el algoritmo crypt_unix. Puede utilizar un algoritmo de cifrado más seguro, como MD5 o Blowfish, cambiando el algoritmo de cifrado de contraseña predeterminado.
En este procedimiento, la versión de BSD-Linux del algoritmo MD5 es el algoritmo de cifrado predeterminado que se utiliza cuando los usuarios cambian sus contraseñas. Este algoritmo es adecuado para una red mixta de equipos que ejecutan las versiones de Oracle Solaris, BSD y Linux de UNIX. Para obtener una lista de algoritmos de cifrado de contraseña e identificadores de algoritmo, consulte la Tabla 2-1.
El rol de administrador principal incluye el perfil de administrador principal. Para crear el rol y asignarlo a un usuario, consulte el Capítulo 2, Trabajo con Solaris Management Console (tareas) de Guía de administración del sistema: administración básica.
Escriba el identificador como el valor de la variable CRYPT_DEFAULT en el archivo /etc/security/policy.conf.
Puede que desee comentar el archivo para explicar su elección.
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 that works with Linux and BSD systems. # Passwords previously encrypted with __unix__ will be encrypted with MD5 # when users change their passwords. # # CRYPT_DEFAULT=__unix__ CRYPT_DEFAULT=1
En este ejemplo, la configuración de algoritmos garantiza que el algoritmo más débil, crypt_unix, nunca se utilice para cifrar una contraseña. Los usuarios cuyas contraseñas se cifraron con el módulo crypt_unix obtienen una contraseña cifrada con crypt_bsdmd5 cuando cambian sus contraseñas.
Para obtener más información sobre la configuración de opciones de algoritmo, consulte la página del comando man policy.conf(4).
Ejemplo 3-6 Uso del algoritmo Blowfish para cifrado de contraseña
En este ejemplo, el identificador del algoritmo Blowfish, 2a, se especifica como el valor para la variable CRYPT_DEFAULT en el archivo policy.conf:
CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 #CRYPT_ALGORITHMS_DEPRECATE=__unix__ CRYPT_DEFAULT=2a
Esta configuración es compatible con los sistemas BSD que utilizan el algoritmo Blowfish.
Cuando los usuarios en un dominio NIS cambian sus contraseñas, el cliente NIS consulta su configuración local de algoritmos en el archivo /etc/security/policy.conf. El equipo cliente NIS cifra la contraseña.
Cuando los usuarios en un dominio NIS+ cambian sus contraseñas, el servicio de nombres NIS+ consulta la configuración de algoritmos en el archivo /etc/security/policy.conf del maestro NIS+. El maestro NIS+, que está ejecutando el daemon rpc.nispasswd, crea la contraseña cifrada.
Cuando el cliente LDAP se ha configurado correctamente, el cliente LDAP puede utilizar los nuevos algoritmos de contraseña. El cliente LDAP se comporta igual que el cliente NIS.
Asegúrese de que un signo de comentario (#) preceda las entradas que incluyen pam_ldap.so.1. Además, no utilice la nueva opción server_policy con el módulo pam_authtok_store.so.1.
Las entradas PAM en el archivo pam.conf del cliente permiten que la contraseña se cifre según la configuración local de algoritmos. Las entradas PAM también permiten que la contraseña se autentique.
Cuando los usuarios en el dominio LDAP cambian sus contraseñas, el cliente LDAP consulta su configuración local de algoritmos en el archivo /etc/security/policy.conf. El equipo cliente LDAP cifra la contraseña. A continuación, el cliente envía la contraseña cifrada, con una etiqueta {crypt}, al servidor. La etiqueta indica al servidor que la contraseña ya se ha cifrado. La contraseña se almacena, tal como está, en el servidor. Para la autenticación, el cliente recupera la contraseña almacenada desde el servidor. A continuación, el cliente compara la contraseña almacenada con la versión cifrada que el cliente acaba de generar a partir de la contraseña introducida del usuario.
Nota - Para aprovechar los controles de política de contraseña en el servidor LDAP, utilice la opción server_policy con las entradas pam_authtok_store en el archivo pam.conf. Las contraseñas se cifran en el servidor mediante el mecanismo criptográfico de Sun Java System Directory Server. Para conocer el procedimiento, consulte el Capítulo 11, Configuración de Sun Java System Directory Server con clientes LDAP (tareas) de Guía de administración del sistema: Servicios de nombres y directorios (DNS, NIS y LDAP).
Un algoritmo de cifrado de contraseña de terceros se suele entregar como un módulo en un paquete de software. Al ejecutar el comando pkgadd, las secuencias de comandos del proveedor deben modificar el archivo /etc/security/crypt.conf. A continuación, debe modificar el archivo /etc/security/policy.conf para incluir el nuevo módulo y su identificador.
Para obtener instrucciones detalladas sobre cómo agregar software, consulte Adición o eliminación de un paquete de software (pkgadd) de Guía de administración del sistema: administración básica.
Lea la lista de algoritmos de cifrado en el archivo /etc/security/crypt.conf.
Por ejemplo, las siguientes líneas muestran que un módulo que implementa el algoritmo crypt_rot13 se ha instalado.
# crypt.conf # md5 /usr/lib/security/$ISA/crypt_md5.so rot13 /usr/lib/security/$ISA/crypt_rot13.so # For *BSD - Linux compatibility # 1 is MD5, 2a is Blowfish 1 /usr/lib/security/$ISA/crypt_bsdmd5.so 2a /usr/lib/security/$ISA/crypt_bsdbf.so
Las siguientes líneas muestran segmentos del archivo policy.conf que se deben modificar para agregar el identificador rot13.
# Copyright 1999-2002 Sun Microsystems, Inc. All rights reserved. # ... #ident "@(#)policy.conf 1.12 08/05/14 SMI" # ... # crypt(3c) Algorithms Configuration CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6,,rot13 #CRYPT_ALGORITHMS_DEPRECATE=__unix__ CRYPT_DEFAULT=md5
En este ejemplo, el algoritmo rot13 se usa si la contraseña actual está cifrada con el algoritmo crypt_rot13. Las contraseñas de usuario nuevas se cifran con el algoritmo crypt_sunmd5. La configuración de este algoritmo funciona en redes de Solaris únicamente.