Requisitos para los mecanismos de gestión de contraseñas
Responsabilidades del administrador del sistema
El administrador del sistema y cada usuario del sistema deben compartir la responsabilidad de proteger la seguridad de las contraseñas. Los administradores del sistema realizan las siguientes tareas de seguridad:
Asegúrese de que todos los usuarios tengan sus propias contraseñas.
Aplique los permisos adecuados a todos los archivos del sistema, incluidos los archivos de contraseñas estándar y los archivos de grupo, concretamente /etc/passwd y /etc/group.
Para los usuarios que no tienen acceso al sistema, sus ID de usuario y contraseñas deben eliminarse o invalidarse.
Comprueba que todas las contraseñas de las aplicaciones estén cifradas.
Verifique que los permisos establecidos para /var/adm/btmp y /var/adm/wtmp sean correctos.
Utilice una contraseña de un solo uso para cada visita de invitado.
Informar a los usuarios sobre sus responsabilidades respecto a la seguridad de las contraseñas.
Utilice límites de tiempo de contraseña para obligar a los usuarios a cambiar sus contraseñas con regularidad.
Evita que se reutilicen contraseñas recientes.
Configure los atributos de seguridad de todo el sistema en el archivo /etc/default/security. Para obtener más información, consulte Definición de propiedades de seguridad del sistema y consulte Seguridad(4).
Cambie el sistema para utilizar contraseñas ocultas. Consulte "archivo de contraseñas/etc/shadow" y shadow(4) y pwconv(1M) para obtener más detalles.
Responsabilidades del usuario
Cada usuario debe cumplir con las siguientes reglas:
Recordar su contraseña y mantenerla confidencial en todo momento.
Cambie su contraseña inicial inmediatamente y manténgala.
Informe cualquier cambio de estado y cualquier sospecha de violación de seguridad.
Asegúrate de que nadie esté mirando cuando ingreses tu contraseña.
Criterios para una buena contraseña
Se deben observar las siguientes pautas a la hora de elegir una contraseña y comunicarlas al usuario:
La contraseña elegida debe contener al menos 6 caracteres y un máximo de 80 caracteres. Los caracteres especiales pueden incluir caracteres de control y símbolos como asteriscos y barras. En modo estándar, sólo se utilizan los primeros 8 caracteres.
No elijas una palabra que se pueda encontrar en un diccionario en cualquier idioma, incluso si está escrita al revés. Existen programas de software que pueden encontrar y relacionar las palabras que utiliza.
No elijas una contraseña que se asocie fácilmente con el usuario, como el nombre de un familiar, una mascota o un pasatiempo.
No utilice secuencias de teclado simples (como asdfghjkl) ni nombres de inicio de sesión duplicados (por ejemplo, si el nombre de inicio de sesión es ann, annann no es una buena contraseña).
Considere utilizar una palabra mal escrita o una combinación de sílabas de dos palabras no relacionadas para formar una contraseña adecuada. Otro método común es utilizar los primeros caracteres de su título o frase favorita como contraseña.
Podrías considerar usar un generador de contraseñas para combinar sílabas y crear palabras pronunciables y confusas.
No compartir contraseñas con otros usuarios. Los administradores deben prohibir compartir contraseñas.
Usa siempre una contraseña. No borre el campo de contraseña en el archivo /etc/passwd.
Cambiar el archivo de contraseñas /etc/passwd
El sistema estándar mantiene un archivo de contraseñas: /etc/passwd.
Todas las contraseñas se cifran a medida que se ingresan y se almacenan en el archivo de contraseñas /etc/passwd. Durante la comparación sólo se utilizan contraseñas cifradas.
Si necesita cambiar el archivo de contraseña, siga estas pautas:
No se permiten campos de contraseña vacíos; de lo contrario, es una violación de seguridad. Un campo de contraseña vacío permite a cualquier usuario establecer una contraseña para la cuenta.
No edites el archivo de contraseña directamente.
Debe utilizar HP SMH o los comandos useradd, userdel o usermod para modificar las entradas del archivo de contraseñas. Si debe editar el archivo de contraseña directamente, use el comando vipw y el comando pwck para verificar. Consulte vipw(1M) y pwck(1M) para obtener más detalles.
Ejemplos del comando passwd
Aquí hay algunos ejemplos útiles del comando passwd:
Para restablecer la contraseña de un usuario:
#passworduser1
Forzar un cambio de contraseña la próxima vez que inicie sesión:
# passwd -f usuario1
Bloquear o deshabilitar la cuenta:
# passwd - lUsuario 2
Habilitar la caducidad de la contraseña:
#password -n 7 -x 28Usuario 1
Para ver el estado de caducidad de la contraseña de un usuario específico:
#Usuario de contraseña
Ver el estado del límite de tiempo de contraseña de todos los usuarios:
#Password-sa
Formato de archivo/etc/passwd
p>
El archivo /etc/passwd se utiliza para autenticar a los usuarios cuando inician sesión. Este archivo contiene entradas para cada cuenta en el sistema HP-UX. Cada entrada consta de siete campos separados por dos puntos. Una entrada típica de /etc/passwd debería verse así:
Robin:z .yxgasvxgg:102:99:Robin Hood, RM 3,x9876,408-555-1234:/home/Robin:/usr /bin/sh
Este campo contiene la siguiente información (enumerada en orden), separada por dos puntos:
robin: nombre de usuario (nombre de inicio de sesión), que consta de hasta 8 caracteres.
z .yxgasvxgg - campo de contraseña cifrado
102 - el ID de usuario es un número entero de 0 a MAXINT-1 (igual a 2, 147, 483, 646 o 231 -2).
99-ID de grupo, de /etc/group, es un número entero de 0 a MAXINT-1 (inclusive).
Robin Hood, RM 3, x9876, 408-555-1234: campo de comentario, utilizado para identificar el nombre completo, la ubicación, el número de teléfono y otra información del usuario. Por razones históricas, el campo también se conoce como campo gecos.
Directorio/home/robin-home, el directorio de inicio de sesión inicial del usuario.
/usr/bin/sh-Nombre de la ruta del shell de inicio de sesión, que se ejecuta cuando el usuario inicia sesión.
Los usuarios pueden cambiar la contraseña, el campo de comentarios (quinto campo) y la ruta del programa de inicio de sesión (séptimo campo) llamando a passwd, chfn y chsh respectivamente. Los campos restantes los establece el administrador del sistema. La identificación de usuario debe ser única. Consulte chfn(1), chsh(1), passwd(1), passwd(4) para obtener más detalles.
/etc/shadow archivo de contraseñas ocultas
A medida que la potencia informática disponible para los descifradores de contraseñas maliciosos continúa aumentando, las contraseñas no ocultas en el archivo /etc/passwd se pueden descifrar fácilmente.
La contraseña oculta oculta la contraseña cifrada en el archivo de contraseña oculta, mejorando así la seguridad del sistema. Puede mover la contraseña cifrada previamente almacenada en el archivo de lectura pública /etc/passwd al archivo /etc/shadow, al que solo pueden acceder usuarios con los permisos adecuados.
Utilice los siguientes comandos para habilitar, verificar y deshabilitar contraseñas ocultas:
El comando pwconv crea un archivo de contraseñas ocultas y copia las contraseñas cifradas del archivo /etc/passwd a / etc/documento sombra.
El comando pwck busca inconsistencias en los archivos /etc/passwd y /etc/shadow.
El comando Pwunconv copia la contraseña cifrada y la información de tiempo limitado en el archivo /etc/shadow al archivo /etc/passwd y luego elimina el archivo /etc/shadow.
Consulte pwconv(1M), pwck(1M), PWCONV (1m) y shadow(4) para obtener más información.
Tenga en cuenta los siguientes puntos con respecto a la función de contraseña oculta.
Después de habilitar la función de contraseña oculta, si la aplicación accede directamente al campo de contraseña del archivo /etc/passwd para obtener la contraseña y la información de tiempo limitado, se verá afectada. Este campo ahora contendrá una X, lo que indica que esta información está en /etc/shadow.
Las aplicaciones que utilizan la interfaz PAM para la autenticación no se verán afectadas.
Para acceder al archivo /etc/shadow mediante programación, utilice la llamada getpent(). Estas llamadas son similares a las llamadas getpwent() de /etc/passwd. Consulte getspend(3C) y getpwent(3C) para obtener más información.
En el archivo /etc/nsswitch.conf, se admiten contraseñas ocultas para servicios de nombres de archivos, NIS y LDAP, pero es posible que otros servidores de traducción de servidores de nombres no admitan contraseñas ocultas. Para configurar el sistema para que use solo archivos, NIS y/o LDAP, asegúrese de que la línea passwd en /etc/nsswitch.conf contenga solo archivos, NIS y/o LDAP. Si /etc/nsswitch.conf no existe o no contiene una línea de contraseña, el valor predeterminado es solo archivos. Consulte nsswitch.conf(4) para obtener más detalles.
Las contraseñas ocultas se basan en estándares de facto proporcionados en otros sistemas UNIX.
Las siguientes propiedades definidas en /etc/default/security se aplican a las contraseñas ocultas. Para obtener más información, consulte "Definición de propiedades de seguridad del sistema" y la página de manual de seguridad(4).
INACTIVIDAD _ MAXDAYS - El número de días que una cuenta puede estar inactiva antes de su vencimiento.
CONTRASEÑA _ min días: el número mínimo de días que se puede cambiar la contraseña.
PASSWORD _ MAXDAYS - El número máximo de días que una contraseña es válida.
CONTRASEÑA _ días de advertencia: el número de días antes de que caduque la contraseña de un usuario.
Los siguientes productos admiten contraseñas ocultas:
Protocolo ligero de acceso a directorios (LDAP)
Protocolo de acceso a directorios Ignite-UXht (LDAP)
Serviceguard
El siguiente software no admite contraseñas ocultas:
Process Resource Manager (PRM)
Aplicaciones que esperan que las contraseñas se almacenen en /etc/passwd .
Para obtener más información, consulte las siguientes páginas de manual:
passwd(1), pwck(1M), pwconv(1M), pwunconv(1M), get gasta(3C), put gasta(3C), nsswitch.conf(4), passwd(4), seguridad(4), sombra(4)
Elimina cuentas falsas en /etc/passwd y protege los subsistemas clave.
El archivo /etc/passwd tradicional contiene una gran cantidad de "pseudocuentas", es decir, entradas no relacionadas con cada usuario, sin un shell de inicio de sesión interactivo real.
Algunas de estas entradas (como fecha, quién, sincronización y tty) están formadas para comodidad del usuario y proporcionan comandos que se pueden ejecutar sin iniciar sesión.
Para mejorar la seguridad, se ha eliminado de las distribuciones de /etc/passwd para que estos programas sólo puedan ser ejecutados por usuarios que hayan iniciado sesión.
Otras entradas similares se guardan en /etc/passwd porque son los propietarios de ese archivo. Los programas propios (como adm, bin, daemon, hpdb, lp y uucp) están disponibles para todo el subsistema y representan un caso especial. Debido a que otorgan acceso a los archivos que protegen o usan, las entradas correspondientes deben incluirse en /etc/passwd para permitir que estos programas se ejecuten como cuentas falsas. Las cuentas falsas tradicionales y las cuentas especiales se muestran en el Ejemplo 3-1 "Cuentas falsas y cuentas especiales del sistema".
Ejemplo 3-1 Pseudocuentas y cuentas especiales del sistema
root::0:3::/:/sbin/sh
Proceso demonio: *: 1:5::/:/sbin/sh
bin:*:2:2:/usr/bin:/sbin/sh
Sistema:*:3:3 : :/:
adm:*:4:4::/var/adm:/sbin/sh
uucp:*:5:3::/var/spool/ uucp public:/usr/lbin/uucp/uu cico
LP:*:9:7:/var/spool/LP:/sbin/sh
nuucp:*: 11: 11::/var/spool/uucp public:/usr/lbin/uucp/uu cico
hpdb:*:27:1:all base:/:/sbin/sh
Nadie:*:-2:-2::/:
La clave del estado privilegiado de estos subsistemas es la capacidad de otorgar acceso a programas bajo su jurisdicción sin otorgarle al superusuario derechos de acceso ( fluido 0). En cambio, configuran el bit setuid del ejecutable para que el usuario efectivo del proceso corresponda al propietario del ejecutable. Por ejemplo, el comando cancelar es parte del subsistema lp, por lo que se ejecuta como el usuario efectivo lp.
Después de configurar setuid, el mecanismo intermediario de seguridad de este subsistema obligará a que la seguridad de todos los programas se limite al alcance del subsistema, no a todo el sistema. Por lo tanto, las vulnerabilidades que amenazan la seguridad en los subsistemas se limitan a los archivos de esos subsistemas. Las infracciones no afectarán los programas de otros subsistemas. Por ejemplo, los programas bajo lp no afectarán a los programas bajo daemon.
Utilice HP-UX Secure Shell para un inicio de sesión seguro.
HP-UX Secure Shell proporciona inicio de sesión remoto seguro, transferencia de archivos y ejecución remota de comandos. Todas las comunicaciones entre cliente y servidor están cifradas. Las contraseñas transmitidas a través de la red ya no se envían en texto claro. Para obtener más información, consulte ssh(1) y Protección de sesiones remotas mediante HP-UX Secure Shell (SSH).
Protege las contraseñas almacenadas en NIS.
Los Servicios de Información de Red (NIS) son parte del Sistema de Archivos de Red (NFS). NIS admite la gestión de la configuración de múltiples hosts desde una ubicación central (es decir, el servidor maestro). La información se integra en una ubicación central, en lugar de almacenar la configuración del host en hosts individuales. El archivo /etc/password es uno de varios archivos de configuración almacenados en el servidor NIS.
NIS no admite el archivo de contraseñas /etc/shadow.
Para obtener información sobre NIS, consulte la Guía del administrador del servicio NFS.
Protege las contraseñas almacenadas en el servidor de directorio LDAP.
El servicio de cliente LDAP-UX interactúa con PAM para verificar las contraseñas almacenadas en el servidor de directorio LDAP. La biblioteca PAM_LDAP proporciona servicios de autenticación.