Muestra las diferencias entre dos versiones de la página.
sad:ubuntu:p6 [2017/11/29 10:02] José Manuel Guallar |
sad:ubuntu:p6 [2019/01/04 13:18] |
||
---|---|---|---|
Línea 1: | Línea 1: | ||
- | ====== Introducción ====== | ||
- | |||
- | |||
- | |||
- | La siguiente practica se muestra cómo aplicar contraseñas seguras utilizando /etc/login.defs, /etc/pam.d/common-password, pam_cracklib.so y pam_unix.so. | ||
- | |||
- | ===== Requisito previo ===== | ||
- | |||
- | |||
- | Ubuntu: Ejercicio 01: Instalación de Ubuntu Desktop 12.04 LTS | ||
- | |||
- | ===== Notas de la practica ===== | ||
- | |||
- | |||
- | En esta practica, veremos cómo hacer lo siguiente: | ||
- | * Establecer tiempo máximo de vida a una contraseña. | ||
- | * Establecer el número máximo de días que se puede usar una contraseña antes del próximo restablecimiento de contraseña. | ||
- | * Establecer el número mínimo de días permitido entre los cambios de contraseña. | ||
- | * Forzar a que las contraseñas contengan mayúsculas, minúsculas, dígitos y caracteres especiales. | ||
- | * Haremos un seguimiento de los historiales de contraseñas. | ||
- | |||
- | ====== Ejercicio ====== | ||
- | |||
- | |||
- | La idea de este ejercicio es fortalecer las contraseñas, para eso tenemos que modificar algunos ficheros. el primer fichero que vamos a trabajar es login.defs | ||
- | |||
- | |||
- | <code bash> | ||
- | root@ubuntu:~# cd /etc | ||
- | root@ubuntu:/etc# ls -l login.defs | ||
- | root@ubuntu:/etc# cp login.defs login.defs.BKP | ||
- | root@ubuntu:/etc# ls -l login.defs* | ||
- | </code> | ||
- | |||
- | {{:sad:ubuntu:p6:01.png?400|}} | ||
- | |||
- | ahora toca editar login.defs y tenemos que buscar el parametro PASS_MAX | ||
- | |||
- | {{:sad:ubuntu:p6:02.png?400|}} | ||
- | |||
- | podemos modificar PASS_MAS_DAYS a 90 | ||
- | para indicar el minimo numero de dias para permitir el cambio entre dos contraseñas es PASS_MIN_DAYS que lo cambiamos a 1 y guardamos | ||
- | |||
- | {{:sad:ubuntu:p6:03.png?400|}} | ||
- | |||
- | ahora instalamos libpam-crackligy verificamos que está instalado | ||
- | <code bash> | ||
- | root@ubuntu:~# apt-get install libpam-cracklib | ||
- | root@ubuntu:~# ls -ld /usr/share/pam-configs/cracklib | ||
- | </code> | ||
- | {{:sad:ubuntu:p6:04.png?400|}} | ||
- | {{:sad:ubuntu:p6:05.png?400|}} | ||
- | |||
- | Ahora vamos al fichero common-password, hacemos una copia de seguridad y lo editamos | ||
- | |||
- | {{:sad:ubuntu:p6:06.png?400|}} | ||
- | |||
- | Una vez abierto tenemos que buscar pam_cracklib y al final de difok=3 escribimos ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 | ||
- | |||
- | que significa esa linea? | ||
- | |||
- | * retry=3, nos da 3 oportunidades para acertar la contraseña | ||
- | * minlen=8, cantidad minima de caracteres en la contraseña | ||
- | * difok=3, necesita 3 caracteres diferentes con respecto a la antigua contraseña para aceptar la nueva contraseña | ||
- | * ucredit=-1, La contraseña requiere al menos 1 manuscula. | ||
- | * lcredit=-1, al menos 1 minuscula | ||
- | * dcredit=-1, al menos 1 numero. | ||
- | * ocredit=-1, al menos 1 caracter especial. | ||
- | |||
- | {{:sad:ubuntu:p6:07.png?400|}} | ||
- | |||
- | {{:sad:ubuntu:p6:08.png?400|}} | ||
- | |||
- | Ahora para activar el historial de contraseñas vamos a /etc/security, reseteamos el historial y cambiamos los privilegios al fichero donde va a guardar las contraseñas | ||
- | |||
- | <code bash> | ||
- | root@ubuntu:~# cd /etc/security | ||
- | root@ubuntu:~# cat /dev/null > opasswd | ||
- | root@ubuntu:~# chmod 600 opassed | ||
- | root@ubuntu:~# chown root:root opassed | ||
- | root@ubuntu:~# ls -l opassed* | ||
- | </code> | ||
- | |||
- | {{:sad:ubuntu:p6:09.png?400|}} | ||
- | |||
- | El siguiente paso es editar el fichero common-password, buscar la palabra pam_unix.so y al final de la linea que pone sha512 escribir **remember=12** | ||
- | {{:sad:ubuntu:p6:10.png?400|}} | ||
- | {{:sad:ubuntu:p6:11.png?400|}} | ||
- | {{:sad:ubuntu:p6:12.png?400|}} | ||
- | {{:sad:ubuntu:p6:13.png?400|}} | ||
- | |||
- | ===== Impresión de pantalla que hay que entregar ===== | ||
- | |||
- | |||
- | <code bash> | ||
- | grep "^PASS" /etc/login.defs | ||
- | grep "pam_cracklib.so" /etc/pam.d/common-password | ||
- | grep "pam_unix.so" /etc/pam.d/common-password | ||
- | date | ||
- | echo "tu nombre" | ||
- | </code> | ||