Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
Control de acceso al sistema (mapa de tareas)
Protección de inicios de sesión y contraseñas (tareas)
Protección de inicios de sesión y contraseñas (mapa de tareas)
Cómo cambiar la contraseña root
Cómo mostrar el estado de inicio de sesión de un usuario
Cómo visualizar usuarios sin contraseñas
Cómo deshabilitar temporalmente inicios de sesión de usuarios
Cómo supervisar intentos de inicio de sesión fallidos
Cómo supervisar todos los intentos de inicio de sesión fallidos
Cambio de algoritmo predeterminado para cifrado de contraseña (tareas)
Cómo especificar un algoritmo para cifrado de contraseña
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS
Cómo especificar un nuevo algoritmo de contraseña para un dominio LDAP
Supervisión y restricción de superusuario (tareas)
Cómo supervisar quién está utilizando el comando su
Cómo restringir y supervisar inicios de sesión de superusuario
Control de acceso a hardware del sistema (tareas)
Cómo requerir una contraseña para el acceso al hardware
Cómo deshabilitar una secuencia de interrupción del sistema
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
De manera predeterminada, las contraseñas de usuario se cifran con el algoritmo crypt_sha256. Puede utilizar un algoritmo de cifrado diferente, cambiando el algoritmo de cifrado de contraseña predeterminado.
En este procedimiento, la versión de BSD-Linux del algoritmo MD5 es el algoritmo de cifrado predeterminado que se utiliza cuando los usuarios cambian sus contraseñas. Este algoritmo es adecuado para una red mixta de sistemas que ejecutan las versiones de Oracle Solaris, BSD y Linux de UNIX. Para obtener una lista de algoritmos de cifrado de contraseña e identificadores de algoritmo, consulte la Tabla 2-1.
Antes de empezar
Debe tener el rol root.
Escriba el identificador como el valor de la variable CRYPT_DEFAULT en el archivo /etc/security/policy.conf.
Puede que desee comentar el archivo para explicar su elección.
# cat /etc/security/policy.conf … CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6 # # Use the version of MD5 (5) that works with Linux and BSD systems. # Passwords previously encrypted with SHA256 (1) will be encrypted # with MD5 when users change their passwords. # # #CRYPT_DEFAULT=5 CRYPT_DEFAULT=1
En este ejemplo, la configuración de algoritmos garantiza que el algoritmo sha256 no se utiliza para cifrar una contraseña. Los usuarios cuyas contraseñas se cifraron con el módulo sha256 obtienen una contraseña cifrada con crypt_bsdmd5 cuando cambian sus contraseñas.
Para obtener más información sobre la configuración de opciones de algoritmos, consulte la página del comando man policy.conf(4).
Ejemplo 3-6 Restricción de algoritmos de cifrado de contraseña en un entorno heterogéneo
En este ejemplo, el administrador en una red que incluye los sistemas BSD y Linux configura las contraseñas para que se puedan usar en todos los sistemas. Debido a que algunas aplicaciones de red no pueden manejar cifrado SHA512, el administrador no incluye su identificador en la lista de algoritmos permitidos. El administrador conserva el algoritmo SHA256, 5 como valor para la variable CRYPT_DEFAULT. La variable CRYPT_ALGORITHMS_ALLOW contiene el identificador MD5, que es compatible con sistemas BSD y Linux, y el identificador Blowfish, que es compatible con sistemas BSD. Debido a que 5 es el algoritmo CRYPT_DEFAULT, no es necesario incluirlo en la lista CRYPT_ALGORITHMS_ALLOW. Sin embargo, con fines de mantenimiento, el administrador coloca 5 en la lista CRYPT_ALGORITHMS_ALLOW y los identificadores no utilizados en la lista CRYPT_ALGORITHMS_DEPRECATE.
CRYPT_ALGORITHMS_ALLOW=1,2a,5 #CRYPT_ALGORITHMS_DEPRECATE=__unix__,md5,6 CRYPT_DEFAULT=5
Cuando los usuarios en un dominio NIS cambian sus contraseñas, el cliente NIS consulta su configuración local de algoritmos en el archivo /etc/security/policy.conf. El sistema cliente NIS cifra la contraseña.
Antes de empezar
Debe tener el rol root.
Cuando el cliente LDAP se ha configurado correctamente, el cliente LDAP puede utilizar los nuevos algoritmos de contraseña. El cliente LDAP se comporta igual que el cliente NIS.
Antes de empezar
Debe tener el rol root.
Asegúrese de que un signo de comentario (#) preceda las entradas que incluyen pam_ldap.so.1. Además, no utilice la opción server_policy con el módulo pam_authtok_store.so.1.
Las entradas PAM en el archivo pam.conf del cliente permiten que la contraseña se cifre según la configuración local de algoritmos. Las entradas PAM también permiten que la contraseña se autentique.
Cuando los usuarios en el dominio LDAP cambian sus contraseñas, el cliente LDAP consulta su configuración local de algoritmos en el archivo /etc/security/policy.conf. El sistema cliente LDAP cifra la contraseña. A continuación, el cliente envía la contraseña cifrada, con una etiqueta {crypt}, al servidor. La etiqueta indica al servidor que la contraseña ya se ha cifrado. La contraseña se almacena, tal como está, en el servidor. Para la autenticación, el cliente recupera la contraseña almacenada desde el servidor. A continuación, el cliente compara la contraseña almacenada con la versión cifrada que el cliente acaba de generar a partir de la contraseña introducida del usuario.
Nota - Para aprovechar los controles de política de contraseña en el servidor LDAP, utilice la opción server_policy con las entradas pam_authtok_store en el archivo pam.conf. Las contraseñas se cifran en el servidor mediante el mecanismo criptográfico de Oracle Directory Server Enterprise Edition. Para conocer el procedimiento, consulte el Capítulo 11, Setting Up Oracle Directory Server Enterprise Edition With LDAP Clients (Tasks) de Oracle Solaris Administration: Naming and Directory Services.