Mòdul Professional 6 - UF1: TREBALL Definir política de contrasenyes a Linux (Debian 11)

Índex

1. Introducció

ATENCIÓ: Aquesta pràctica la podeu fer amb entorn gràfic si voleu.

Hola que tal?

En Linux la definició de polítiques es fa en diferents arxius però la part més important està en els mòduls PAM. Per definir una política senzilla que només necessiti la llargada mínima de contrasenya es pot fer servir el mòdul pamunix.so

La configuració dels mòduls PAM normalment només consisteix en escriure o modificar línies en el directori /etc/pam.d.

ALERTA: Si cal afegir línies en un fitxer PAM el lloc en el que es posen les línies és molt important. Fer-ho malament pot fer que no es pugui entrar més en el sistema o que es pugui entrar sempre…

Si per exemple volem afegir noves funcionalitats normalment ho farem editant l'arxiu /etc/pam.d/common-auth, o instal·lar (i que s'auto configuri) un nou mòdul des de repositoris.

1.1. Mòduls PAM

Hi ha una gran quantitat de mòduls PAM que es poden fer servir en Linux. Cada mòdul aporta alguns mètodes d'identificació, autentificació o autorització al sistema:

pwquality
Reforça les contrasenyes dels usuaris impedint-los posar contrasenyes senzilles. Permet definir històric de contrasenyes
passwdqc
Permet definir la complexitat de les contrasenyes del sistema
limits
Límita el número de recursos que pot fer servir un usuari
motd
Mostra un missatge a l'usuari que entra al sistema
time
Permet limitar l'accés dels usuaris a determinades hores
faillock
Permet bloquejar un compte si un usuari ha fallat la contrasenya

Alguns d'aquests mòduls estan disponibles per defecte mentre que d'altres requereixen que el mòdul sigui instal·lat. Per exemple, el mòdul pam_pwquality no sol venir instal·lat i cal fer-ho manualment.

Es poden trobar tots els mòduls pam d'un sistema en Ubuntu buscant en els paquets els que comencen per “libpam”. 

apt-cache search ^libpam

1.1.1. Pam Pwquality

El mòdul pampwquality ofereix la possibilitat de forçar als usuaris a tenir contrasenyes més complexes. Per fer-ho es poden afegir tota una sèrie de paràmetres que indiquen la llargada mínima, la complexitat de la contrasenya (quantes majúscules, minúscules, números i símbols ha de tenir la contrasenya) i com han de diferir les contrasenyes)

Només cal buscar el fitxer /etc/security/pwquality.conf i modificar-ho de forma que s'adeqüi al que volem aconseguir.

1.1.2. Pam Faillock

El mòdul pamtally és el responsable de bloquejar els comptes dels usuaris que han fallat un número determinat de vegades les contrasenyes Generalment està instal·lat per defecte i per configurar-lo només cal “afegir” una línia en un arxiu del /etc/pam.d/common-auth

1.1.3. Login.defs

La caducitat per defecte de les contrasenyes es poden definir en l'arxiu /etc/login.defs. Aquestes modificacions afectaràn a tots els usuaris.

Si volem veure què hi ha aplicat o modificar la caducitat d'un usuari concret podem utilitzar la comanda chage. 

$ chage -l federicu
Last password change                          : Sep 08, 2010
Password expires                                : Dec 07, 2010
Password inactive                               : Jan 06, 2011
Account expires                           : Sep 09, 2010
Minimum number of days between password change      : 5
Maximum number of days between password change      : 90
Number of days of warning before password expires   : 14

Com hem comentat chage també permet modificar els valors per a un sol usuari: 

$ sudo chage -E 06/30/2011 -m 5 -M 90 -I 30 -W 14 federicu

2. Activitat

En aquesta activitat seguirem el mateixos passos realitzats en l'activitat de Windows, per poder-ne contrastar les capacitats i peculiaritats de cada sistema. Els passos són:

  • En una màquina virtual en Linux definiu-hi tres usuaris amb contrasenyes simples: “12345”, “1Ab”, “patata”
    • Com creareu els usuaris? Amb useradd o adduser? En sabeu la diferència?
  • Definiu una política de contrasenyes que defineixi:
    • Llargada de la contrasenya: 9 caràcters com a mínim
    • Caducitat: Caduquin TOTS els comptes cada mes
    • Complexitat de la contrasenya: Lletres majúscules, minúscules i números
  • Bloqueig del compte: 3 fallades.
  • Reinicieu el sistema.
  • Intenteu entrar amb un usuari antic (amb contrasenya que no compleix els requisits actuals). Què fa el sistema?
  • Intenteu crear un usuari nou amb una contrasenya senzilla que no compleixi la política i comproveu que el sistema no el deixa crear.
  • Entreu amb un usuari tot equivocant-vos 4 cops amb la contrasenya. El missatge d'error és realment de compte bloquejada?
  • Desbloquegeu el compte bloquejat anteriorment.
  • Finalment, avanceu el rellotge del sistema una setmana i mitja aproximadament, reinicieu i verifiqueu que les contrasenyes han caducat i el sistema demana renovació.

ALERTA: Que el sistema es queixi, no vol dir que no ho deixi fer…. vigileu molt i consulteu el final de la webgrafia!

IMPORTANT: Cal captura completa del resultat de la comanda.

3. Valoració

Aquest treball computa com QUATRE activitats normals.

4. WebGrafia

  • Fer que caduquin: rm-rf
  • Complexitat: Server-World.
  • Bloqueig d’intents fallits: KifarUnix.
  • Error típic de deixar saltar política a usuaris "super": rosehosting A l'últim compentari.

Data: 2022-02-10 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2022-10-11 dt. 12:25