Re: usnado contraseñas seguras

[Camaleón]

El día 14 de junio de 2014, 17:24, Yoslan Raul Jimenez Carvajal 
yr...@ucp.ss.rimed.cu escribió:

Rescato este mensaje de mi filtro. Corrijo el top-posting.

 El 14/06/2014 10:50, Camaleón escribió:

 El Fri, 13 Jun 2014 11:47:40 -0400, Yoslan Raul Jimenez Carvajal
 escribió:

 resulta ser que estoy probando en un openvz con debian 7.5
 libpam-cracklib y no me pone la restriccion aca pongo el howto por el
 que me he guiado
 pero no me funciona no se si es la version de debian o que la este
 corriendo en openvz

 (...)

 En este artículo¹ dice que tras instalar el paquete sólo tienes que
 ejecutar pam-auth-update para activarlo. En cualquier caso, revisa
 la documentación del propio paquete y la página del manual.

 ¹http://www.deb-admin.com/enforcing-strong-passwords-with-cracklib/

 ya ejecute el comando y nada

Se supone que al ejecutar ese comando tiene que haberse añadido la 
biblioteca instala (cracklib) como requisito de seguridad en la 
generación de contraseñas de los usuarios del sistema por lo tanto, 
revisa qué archivos de configuración de pam han sido modificados 
recientemente y con qué datos, o simplemente ejecuta:

grep -i cracklib /etc/pam.d/*

Y manda la salida.

Otra cosa... ¿cómo estás probando exactamente este módulo?

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/pan.2014.06.15.15.49...@gmail.com

Re: usnado contraseñas seguras

[Camaleón]

El Fri, 13 Jun 2014 11:47:40 -0400, Yoslan Raul Jimenez Carvajal escribió:

 resulta ser que estoy probando en un openvz con debian 7.5 
 libpam-cracklib y no me pone la restriccion aca pongo el howto por el 
 que me he guiado
 pero no me funciona no se si es la version de debian o que la este 
 corriendo en openvz

(...)

En este artículo¹ dice que tras instalar el paquete sólo tienes que 
ejecutar pam-auth-update para activarlo. En cualquier caso, revisa 
la documentación del propio paquete y la página del manual.

¹http://www.deb-admin.com/enforcing-strong-passwords-with-cracklib/

Saludos,

-- 
Camaleón


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/pan.2014.06.14.14.50...@gmail.com

usnado contraseñas seguras

[Yoslan Raul Jimenez Carvajal]

resulta ser que estoy probando en un openvz con debian 7.5 
libpam-cracklib y no me pone la restriccion aca pongo el howto por el 
que me he guiado
pero no me funciona no se si es la version de debian o que la este 
corriendo en openvz


usando contraseñas seguras en linux

es preciso obligar a los usuarios mantener una política de passwords 
correcta.


Lo primero es evitar que usen passwords de diccionario. Para ello 
instalaremos la libreria libpam-cracklib:


# apt-get install libpam-cracklib

Y la activaremos en el fichero common-password:

# vi /etc/pam.d/common-password
password requisite pam_cracklib.so retry=3 minlen=8 difok=3

Esta línea la tendremos que colocar arriba del todo del bloque primario 
(“Primary” block)


Además esta librería nos permite realizar varias restricciones, por ejemplo

password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 
lcredit=1 ucredit=1 dcredit=1 ocredit=0


Donde:
minlen: especifica el número mínimo de caracteres.
lcredit: especifica el número mínimo de letras minúsculas
ucredit: especifica el número mínimo de letras mayúsculas
dcredit: especifica el número mínimo de caracteres numéricos ocredit 
especifica el número de caracteres de otro tipo, como por ejemplo símbolos.


Este ejemplo requerirá 1 minúscula y 1 mayúscula, además de un número.

Otra cosa que se puede hacer para mejorar la seguridad es obligar a los 
usuarios a cambiar su password cada x tiempo, esto se hace en el fichero 
login.defs:


/etc/login.defs
PASS_MAX_DAYS 60
PASS_MIN_DAYS 7
PASS_WARN_AGE 10

Nos hará cambiar la contraseña pasados 2 meses, avisándonos cada vez que 
hagamos login los 10 dias previos a la caducidad.


Además para forzar que no se repitan los passwords, pam_unix.so nos 
permite guardar los passwords usados en un fichero llamado opasswd 
dentro de /etc/security, para activar esto tendremos que volver a editar 
el fichero common-password y modificar la linea:


# vi /etc/pam.d/common-password
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=10

Esta línea también tiene que ir en la Primary block, debajo de la otra 
línea que hemos añadido antes.


Podemos hacer la prueba cambiando el password del usuario, veremos como 
el fichero opasswd va creciendo ;)


Lo siguiente para evitar que alguien pille un usuario y empiece a probar 
passwords, vamos a definir un numero máximo de intentos y un tiempo de 
gracia para que el usuario en cuestión pueda entrar de nuevo pasado este 
tiempo. Para ello editamos el fichero common-auth:


# vi /etc/common-auth
auth required pam_tally.so onerr=fail deny=3 unlock_time=3600

Para ver si los logins fallidos de un usuario vamos a usar el comando 
pam_tally:


# pam_tally --user usuario
User usuario (1001) has 3

En el caso que un usuario tenga demasiados intentos fallidos, pero sea 
el propio usuario el que se ha hecho el “auto-ataque”, podemos resetear 
el numero de intentos otra vez a 0:




Universidad Pedagogica de Sancti Spiritus. Cuba
WEB http://www.ucp.ss.rimed.cu/
REVISTA Pedagogia y Sociedad http://www.pedsoc.rimed.cu/
FACEBOOK 
https://www.facebook.com/UniversidadPedagogicaCapitanSilverioBlancoNunez


--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/539b1d1c.40...@ucp.ss.rimed.cu