Directrices de seguridad de Oracle® Solaris 11

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo establecer el bloqueo de cuenta para usuarios normales

Utilice este procedimiento para bloquear cuentas de usuarios comunes después de un determinado número de intentos de inicio de sesión fallidos.


Notas -  Los roles son cuentas compartidas. No establezca el bloqueo de cuenta para los usuarios que pueden asumir roles, ya que un usuario bloqueado puede bloquear el rol.

Antes de empezar

No establezca esta protección en la totalidad de un sistema que utilice para las actividades administrativas. En su lugar, supervise que no haya uso inusual en el sistema administrativo y manténgalo disponible para los administradores.

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Establezca el atributo de seguridad LOCK_AFTER_RETRIES en YES (sí).

    Seleccione el ámbito del valor de atributo.

    • Para todo el sistema.

      Esta protección se aplica a cualquier usuario que intenta utilizar el sistema.

      # pfedit /etc/security/policy.conf
      ...
      #LOCK_AFTER_RETRIES=NO
      LOCK_AFTER_RETRIES=YES
      ...
    • Para un usuario.

      Esta protección se aplica únicamente al usuario para el que se ejecuta este comando. Si tiene muchos usuarios, no es una solución escalable.

      # usermod -K lock_after_retries=yes username
    • Cree y asigne un perfil de derechos.

      Esta protección se aplica a cualquier usuario o sistema al que se asigna este perfil de derechos.

      1. Cree el perfil de derechos.
        # profiles -p shared-profile -S ldap
        shared-profile: set lock_after_retries=yes
        ...

        Para obtener más información sobre cómo crear perfiles de derechos, consulte Creación de perfiles de derechos y autorizaciones de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

      2. Asigne el perfil de derechos a usuarios o a todo el sistema.

        Si tiene muchos usuarios que comparten un perfil de derechos, definir este valor en un perfil de derechos puede ser una solución escalable.

        # usermod -P shared-profile username

        También puede asignar el perfil por sistema en el archivo policy.conf.

        # pfedit /etc/security/policy.conf
        ...
        #PROFS_GRANTED=Basic Solaris User
        PROFS_GRANTED=shared-profile,Basic Solaris User
  2. Establezca el atributo de seguridad RETRIES en 3.

    Seleccione el ámbito del valor de atributo.

    • Para todo el sistema.
      # pfedit /etc/default/login
      ...
      #RETRIES=5
      RETRIES=3
      ...
    • Para un usuario.
      # usermod -K lock_after_retries=3 username
    • Cree y asigne un perfil de derechos.

      Siga los pasos en el Step 4 y cree un perfil de derechos que incluya lock_after_retries=3.

Véase también