Mòdul Professional 6 - UF1: TREBALL - Implementar política de contrasenyes a Linux (Debian 11)

Índex

1. ISOs i recursos

1.1. Repositoris

Els repositoris (Arxiu /etc/apt/sources.list) de Debian 11 han de ser:

S'ha de comentar, la línia del cdrom.

deb http://ftp.caliu.cat/debian/ bullseye main

deb-src http://ftp.caliu.cat/debian/ bullseye main

deb http://security.debian.org/debian-security bullseye-security main contrib

deb-src http://security.debian.org/debian-security bullseye-security main contrib

deb http://ftp.caliu.cat/debian/ bullseye-updates main contrib

deb-src http://ftp.caliu.cat/debian/ bullseye-updates main contrib

2. Objectius

  • Implementació de política de contrasenyes a Linux.
  • Hàbit d'interpretar la sortida del sistema.
  • Hàbit de fer verificacions de funcionalitat i no-funcionalitat.

3. Enunciat

Com hem vist, la implementació d'una política de contrasenyes a Linux és més complexa alhora que més flexible i personalitzable. Podem fer-nos una idea de la de coses que podem remenar simplement executant apt-cache search libpam i veient tots els paquets relacionats amb el sistema d'autenticació de Linux.

En aquesta pràctica buscarem tant aprendre com configurar les contrasenyes a Linux com acostumar-nos a fer verificacions, ser curosos amb els arxius de configuració i interpretar les respostes del sistema. Tot això habilitats imprescindibles per a un informàtic.

3.1. Recordatoris generals

ALERTA

  • Aquesta pràctica la podeu fer amb entorn gràfic si voleu, però és MOLT recomanable fer totes les configuracions i verificacions per terminal.
  • Que el sistema es queixi, no vol dir que no ho deixi fer.
  • Interpreteu sempre els missatges del sistema, molts cops us guiaràn cap a la solució.
  • Si quelcom no funciona i no sabem el motiu, cal consultar els registres (/var/log/syslog).
  • Si cal afegir línies en un fitxer PAM el lloc en el que es posen les línies és molt important. Fer-ho malament pot fer que no es pugui entrar més en el sistema o que es pugui entrar sempre…
  • Mireu la webgrafia.

3.2. Mòduls PAM

3.2.1. Pam Pwquality

El mòdul pam_ pwquality ofereix la possibilitat de forçar als usuaris a tenir contrasenyes complexes. Per fer-ho es poden afegir tota una sèrie de paràmetres que indiquen la llargada mínima, la complexitat de la contrasenya (quantes majúscules, minúscules, números i símbols ha de tenir la contrasenya) i com han de diferir les contrasenyes.

Primer de tot caldrà instal·lar el mòdul amb apt install libpam-pwquality. Després tan sols cal buscar el fitxer /etc/security/pwquality.conf i modificar-ho de forma que s'adeqüi al que volem aconseguir.

3.2.2. Pam Faillock

El mòdul pam_ faillock és el responsable de bloquejar els comptes dels usuaris que han fallat un número determinat de vegades les contrasenyes. Generalment està instal·lat per defecte i per configurar-lo només cal “afegir” unes línies en un arxiu del /etc/pam.d/common-auth. Caldrà afegir:

auth required pam_ faillock.so preauth audit deny=3 fail_ interval=60 unlock_ time=300

Abans de la línia auth [success=1 default=ignore] pam_unix.so nullok.

I també les línies:

auth [default=die] pam_ faillock.so authfail audit deny=3 fail_ interval=60 unlock_ time=300

auth sufficient pam_ faillock.so authsucc audit deny=3 fail_ interval=60 unlock_ time=300

Abans de la línia auth requisite pam_deny.so.

  • ALERTA: No feu copy/paste, ja que per format hi han uns espais que "sobren" despres de "_".
  • ALERTA: Ja que us pauto aquest apartat, caldrà que a la memòria expliqueu molt bé què fa cadascun els paràmetres que apareixen en aquestes línies de configuració. I també per a que serveix cada línia.

3.2.3. Login.defs

La caducitat per defecte de les contrasenyes es poden definir en l'arxiu /etc/login.defs. Aquestes modificacions afectaràn a tots els usuaris.

4. Activitat

L'activitat consta de reproduïr la política de contrasenyes vista en l'activitat anterior, però en aquest cas en una Debian 11:

  1. En una màquina virtual amb Debian 11 definiu-hi tres usuaris amb contrasenyes simples: “12345”, “1Ab”, “patata” (en cas que existeixi una política de contrasenyes vigent, elimineu-la per a poder crear aquests comptes amb contrasenyes poc segures).
  2. Definiu una política de contrasenyes que obligui als usuaris a:
    • Tenir contrasenyes de 9 o més caràcters amb complexitat (números, lletres i símbols).
    • Que caduquin cada any.
    • Que bloquegi el compte si l'usuari falla la contrasenya tres vegades seguides i que calgui esperar-se 5 minuts per tornar a intentar entrar.
  3. Reinicieu el sistema
  4. Intenteu entrar amb un dels usuaris creats anteriorment. Què fa el sistema?
  5. Intenteu crear un usuari nou amb una contrasenya senzilla que no compleixi la política i comproveu que el sistema no el deixa crear.
  6. Amb un usuari qualsevol intenteu entrar en el sistema fallant la contrasenya 4 vegades. Què passa?
  7. Busqueu com podeu fer per, com administrador, desbloquejar un compte bloquejat (que no calgui esperar els 5 minuts).
  8. Finalment, creeu un nou usuari i verifiqueu al /etc/shadow que la data de caducitat del nou compte és d'aquí 365 dies.

5. Entrega

L'entrega ha de constar d'un PDF amb portada i índex, respectant la normativa de treballs i demostrant qualitat de documentació tècnica a nivell professional.

Hi han de mostrar-se captures a un tamany suficient per ser llegibles de les configuracions i de les proves de bon funcionament.

IMPORTANT: Cal captura completa del resultat de la comanda. No retalleu!

En aquest treball serà especialment important realitzar explicacions de les configuracions fetes, així com interpretar els resultats de les proves.

6. Valoració

Aquest treball computa com QUATRE activitats normals. La valoració del treball es realitzarà sobre la rúbrica que podeu consultar en l'entrega.

IMPORTANT: En aquest treball es valoraràn especialment:

  • Les bones explicacions de les configuracions, especialment de l'apartat Faillock.
  • Les interpretacions de les proves fetes.

7. FAQs

7.1. No puc instal·lar el paquet…

  • Et va ping 8.8.8.8?
  • Et va ping google.com?
  • Has configurat els repositoris en xarxa durant la instal·lació?

7.2. Tot i configurar l'arxiu /etc/security/pwquality.conf al crear un usuari nou ignora la configuració

  • Has configurat l'arxiu però no instal·lat el paquet libpam-pwquality.

7.3. Al configurar el faillock ja no puc entrar al sistema

  • Al configurar el faillock segurament t'has equivocat en escriure quelcom o ho has escrit en una línia (posició) que no toca.

7.4. Com verifico la caducitat de la contrasenya?

  • Recorda que afecta als usuaris creats posteriorment a la modificació de la configuració.
  • La caducitat es pot veure a /etc/shadow tal com es va explicar a la teoria.

8. WebGrafia

  • Fer que caduquin manualment (per fer proves): rm-rf
  • Complexitat: Server-World.
  • Bloqueig d’intents fallits: KifarUnix.
  • Error típic de deixar saltar política a usuaris "super": rosehosting A l'últim comentari.

Data: 2022-02-10 dj. 00:00

Autor: Raul Gimenez Herrada

Created: 2023-10-20 dv. 10:43