usnado contraseñas seguras
resulta ser que estoy probando en un openvz con debian 7.5
libpam-cracklib y no me pone la restriccion aca pongo el howto por el
que me he guiado
pero no me funciona no se si es la version de debian o que la este
corriendo en openvz
usando contraseñas seguras en linux
es preciso obligar a los usuarios mantener una política de passwords
correcta.
Lo primero es evitar que usen passwords de diccionario. Para ello
instalaremos la libreria libpam-cracklib:
# apt-get install libpam-cracklib
Y la activaremos en el fichero common-password:
# vi /etc/pam.d/common-password
password requisite pam_cracklib.so retry=3 minlen=8 difok=3
Esta línea la tendremos que colocar arriba del todo del bloque primario
(“Primary” block)
Además esta librería nos permite realizar varias restricciones, por ejemplo
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8
lcredit=1 ucredit=1 dcredit=1 ocredit=0
Donde:
minlen: especifica el número mínimo de caracteres.
lcredit: especifica el número mínimo de letras minúsculas
ucredit: especifica el número mínimo de letras mayúsculas
dcredit: especifica el número mínimo de caracteres numéricos ocredit
especifica el número de caracteres de otro tipo, como por ejemplo símbolos.
Este ejemplo requerirá 1 minúscula y 1 mayúscula, además de un número.
Otra cosa que se puede hacer para mejorar la seguridad es obligar a los
usuarios a cambiar su password cada x tiempo, esto se hace en el fichero
login.defs:
/etc/login.defs
PASS_MAX_DAYS 60
PASS_MIN_DAYS 7
PASS_WARN_AGE 10
Nos hará cambiar la contraseña pasados 2 meses, avisándonos cada vez que
hagamos login los 10 dias previos a la caducidad.
Además para forzar que no se repitan los passwords, pam_unix.so nos
permite guardar los passwords usados en un fichero llamado opasswd
dentro de /etc/security, para activar esto tendremos que volver a editar
el fichero common-password y modificar la linea:
# vi /etc/pam.d/common-password
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=10
Esta línea también tiene que ir en la Primary block, debajo de la otra
línea que hemos añadido antes.
Podemos hacer la prueba cambiando el password del usuario, veremos como
el fichero opasswd va creciendo ;)
Lo siguiente para evitar que alguien pille un usuario y empiece a probar
passwords, vamos a definir un numero máximo de intentos y un tiempo de
gracia para que el usuario en cuestión pueda entrar de nuevo pasado este
tiempo. Para ello editamos el fichero common-auth:
# vi /etc/common-auth
auth required pam_tally.so onerr=fail deny=3 unlock_time=3600
Para ver si los logins fallidos de un usuario vamos a usar el comando
pam_tally:
# pam_tally --user usuario
User usuario (1001) has 3
En el caso que un usuario tenga demasiados intentos fallidos, pero sea
el propio usuario el que se ha hecho el “auto-ataque”, podemos resetear
el numero de intentos otra vez a 0:
----
Universidad Pedagogica de Sancti Spiritus. Cuba
WEB http://www.ucp.ss.rimed.cu/
REVISTA Pedagogia y Sociedad http://www.pedsoc.rimed.cu/
FACEBOOK https://www.facebook.com/UniversidadPedagogicaCapitanSilverioBlancoNunez
Reply to: