Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español) |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
Control de acceso al sistema (mapa de tareas)
Protección de inicios de sesión y contraseñas (tareas)
Protección de inicios de sesión y contraseñas (mapa de tareas)
Cómo cambiar la contraseña root
Cómo mostrar el estado de inicio de sesión de un usuario
Cómo visualizar usuarios sin contraseñas
Cómo deshabilitar temporalmente inicios de sesión de usuarios
Cómo supervisar intentos de inicio de sesión fallidos
Cómo supervisar todos los intentos de inicio de sesión fallidos
Cambio de algoritmo predeterminado para cifrado de contraseña (tareas)
Cómo especificar un algoritmo para cifrado de contraseña
Cómo especificar un nuevo algoritmo de contraseña para un dominio NIS
Cómo especificar un nuevo algoritmo de contraseña para un dominio LDAP
Supervisión y restricción de superusuario (tareas)
Cómo supervisar quién está utilizando el comando su
Cómo restringir y supervisar inicios de sesión de superusuario
Control de acceso a hardware del sistema (tareas)
Cómo requerir una contraseña para el acceso al hardware
Cómo deshabilitar una secuencia de interrupción del sistema
4. Servicio de análisis de virus (tareas)
5. Control de acceso a dispositivos (tareas)
6. Uso de la herramienta básica de creación de informes de auditoría (tareas)
7. Control de acceso a archivos (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Atributos de seguridad en Oracle Solaris (referencia)
Parte IV Servicios criptográficos
11. Estructura criptográfica (descripción general)
12. Estructura criptográfica (tareas)
13. Estructura de gestión de claves
Parte V Servicios de autenticación y comunicación segura
14. Autenticación de servicios de red (tareas)
17. Uso de Secure Shell (tareas)
19. Introducción al servicio Kerberos
20. Planificación del servicio Kerberos
21. Configuración del servicio Kerberos (tareas)
22. Mensajes de error y resolución de problemas de Kerberos
23. Administración de las políticas y los principales de Kerberos (tareas)
24. Uso de aplicaciones Kerberos (tareas)
25. El servicio Kerberos (referencia)
Parte VII Auditoría en Oracle Solaris
26. Auditoría (descripción general)
27. Planificación de la auditoría
Puede limitar inicios de sesión remotos, solicitar que los usuarios tengan contraseñas y solicitar que la cuenta root tenga una contraseña compleja. También puede supervisar intentos de acceso fallidos y deshabilitar inicios de sesión temporalmente.
El siguiente mapa de tareas hace referencia a procedimientos que supervisan inicios de sesión de usuarios y que deshabilitan inicios de sesión de usuarios.
|
Para cambiar la contraseña root, debe cumplir con los requisitos de contraseñas que se aplican a todos los usuarios del sistema.
Antes de empezar
Debe tener el rol root.
# passwd root New Password: Re-enter new Password: passwd: password successfully changed for root
Un mensaje aparecerá en la pantalla si su contraseña no cumple con los requisitos. Los mensajes son informativos. Después de tres intentos, debe volver a ejecutar el comando nuevamente para cambiar la contraseña.
passwd: Password too short - must be at least 6 characters. passwd: The password must contain at least 2 alphabetic character(s). passwd: The password must contain at least 1 numeric or special character(s).
Antes de empezar
Debe tener el rol root.
# logins -x -l username
Muestra un conjunto ampliado de información de estado de inicio de sesión.
Muestra el estado de inicio de sesión para el usuario especificado. La variable nombre_usuario es el nombre de inicio de sesión de un usuario. Varios nombres de inicio se sesión se separan con comas.
El comando logins utiliza la base de datos de contraseñas adecuada para obtener el estado de inicio de sesión de un usuario. La base de datos puede ser el archivo /etc/passwd local o una base de datos de contraseñas para el servicio de nombres. Para obtener más información, consulte la página del comando man logins(1M).
Ejemplo 3-1 Visualización del estado de inicio de sesión de un usuario
En el ejemplo siguiente, se muestra el estado de inicio de sesión del usuario jdoe.
# logins -x -l jdoe jdoe 500 staff 10 Jaylee Jaye Doe /home/jdoe /bin/bash PS 010103 10 7 -1
Identifica el nombre de inicio de sesión del usuario.
Identifica el ID de usuario (UID).
Identifica el grupo principal del usuario.
Identifica el ID de grupo (GID).
Identifica el comentario.
Identifica el directorio principal del usuario.
Identifica el shell de inicio de sesión.
Especifica la información de caducidad de las contraseñas:
Última fecha en la que se cambió la contraseña
Número de días que son necesarios entre los cambios
Número de días antes de que un cambio sea necesario
Período de advertencia
Antes de empezar
Debe tener el rol root.
# logins -p
La opción -p muestra una lista de usuarios que no tienen contraseñas. El comando logins utiliza la base de datos passwd del sistema local a menos que se especifique un servicio de nombres distribuido en el archivo nsswitch.conf.
Ejemplo 3-2 Visualización de usuarios sin contraseñas
En el siguiente ejemplo, el usuario pmorph no tiene una contraseña.
# logins -p pmorph 501 other 1 Polly Morph #
Deshabilite temporalmente inicios de sesión de usuarios durante el cierre o el mantenimiento de rutina del sistema. Los inicios de sesión de superusuarios no se ven afectados. Para obtener más información, consulte la página del comando man nologin(4).
Antes de empezar
Debe tener el rol root.
# vi /etc/nologin
Ejemplo 3-3 Deshabilitación de inicios de sesión de usuarios
En este ejemplo, se notifica a los usuarios que el sistema no está disponible.
# vi /etc/nologin (Add system message here) # cat /etc/nologin ***No logins permitted.*** ***The system will be unavailable until 12 noon.***
También puede llevar el sistema al nivel de ejecución 0, modo de un solo usuario, para deshabilitar inicios de sesión. Para obtener información acerca de cómo llevar el sistema al modo de un solo usuario, consulte el Capítulo 3, Cierre de un sistema (tareas) de Inicio y cierre de Oracle Solaris en plataformas x86.
Este procedimiento captura intentos de inicio de sesión fallidos de ventanas de terminales. Este procedimiento no captura inicios de sesión fallidos de un intento de inicio de sesión de escritorio.
Antes de empezar
Debe tener el rol root.
# touch /var/adm/loginlog
# chmod 600 /var/adm/loginlog
# chgrp sys /var/adm/loginlog
Por ejemplo, inicie sesión en el sistema cinco veces con la contraseña incorrecta. A continuación, visualice el archivo /var/adm/loginlog.
# more /var/adm/loginlog jdoe:/dev/pts/2:Tue Nov 4 10:21:10 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:21 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:30 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:40 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:49 2010 #
El archivo loginlog contiene una entrada para cada intento fallido. Cada entrada contiene el nombre de inicio de sesión del usuario, el dispositivo TTY y la hora del intento fallido. Si una persona realiza menos de cinco intentos incorrectos, no se registran intentos fallidos.
Un archivo loginlog cada vez más grande puede indicar un intento de entrar ilegalmente al sistema del equipo. Por lo tanto, compruebe y borre el contenido de este archivo con regularidad. Para obtener más información, consulte la página del comando man loginlog(4).
Este procedimiento captura en un archivo syslog todos los intentos de inicio de sesión fallidos.
Antes de empezar
Debe tener el rol root.
Edite el archivo /etc/default/login para cambiar la entrada. Asegúrese de que SYSLOG=YES no tenga comentarios.
# grep SYSLOG /etc/default/login # SYSLOG determines whether the syslog(3) LOG_AUTH facility should be used SYSLOG=YES # The SYSLOG_FAILED_LOGINS variable is used to determine how many failed #SYSLOG_FAILED_LOGINS=5 SYSLOG_FAILED_LOGINS=0 #
# touch /var/adm/authlog
# chmod 600 /var/adm/authlog
# chgrp sys /var/adm/authlog
Envíe los fallos al archivo authlog.
Por ejemplo, como usuario común, inicie sesión en el sistema con la contraseña incorrecta. A continuación, como superusuario, muestre el archivo /var/adm/authlog.
# more /var/adm/authlog Nov 4 14:46:11 example1 login: [ID 143248 auth.notice] Login failure on /dev/pts/8 from example2, stacey #
Ejemplo 3-4 Registro de intentos de acceso después de tres fallos de inicio de sesión
Siga el procedimiento anterior, pero, en este caso, establezca el valor de SYSLOG_FAILED_LOGINS en 3, en el archivo /etc/default/login.
Ejemplo 3-5 Cierre de conexión después de tres fallos de inicio de sesión
Elimine el comentario de la entrada RETRIES en el archivo /etc/default/login y, luego, establezca el valor de RETRIES en 3. Las ediciones surten efecto inmediatamente. Después de tres reintentos de inicio en una sesión, el sistema cierra la conexión.