SAD 2 ASIR

PRÁCTICA 2 UNIDAD 2: Políticas de contraseñas

Agrupamiento: Individual Duración: 1 sesión

Objetivos: Aplicar la política de seguridad definida en el sistema

Introducción

El objetivo de esta práctica es que el alumno implante una política de seguridad en un

sistema GNU/Linux, para cumplir de esta forma con las directivas de seguridad

contempladas en la política de seguridad de una organización.

PAM (Pluggable Authentication Modules)

PAM es un mecanismo de autenticación flexible que permite independizar las

aplicaciones y servicios de un sistema GNU/Linux del proceso de identificación. Permite

configurar distintos sistemas de autenticación, sesión y cambio de contraseñas y

conectarlos a los servicios que queramos, como por ejemplo el servicio login (que permite

acceder al sistema desde una consola), el servicio sshd (que permite acceder via red

mediante SSH) o el servicio web de apache, por citar sólo unos pocos ejemplos.

Los archivos de configuración se encuentran en /etc/pam.d/. Si te sitúas en ese directorio

en Fedora, podrás comprobar que existen varias ficheros. Cada uno es la configuración

de PAM para un servicio.

Por ejemplo, si editas el fichero reboot, indica como se conectan los servicios de PAM al

servicio reboot:

auth sufficient pam_rootok.so

auth required pam_console.so

account required pam_permit.so

1/4
 SAD 2 ASIR
Aunque no es el objetivo de esta práctica ser un manual de PAM (puedes consultar man

pam y man pam.conf para ver todos los detalles), veremos rápidamente que significan

esas línea en el fichero anterior.

Cada linea tiene la forma:

tipo control modulo-de-pam argumentos-del-modulo

Donde:

• tipo: grupo de administración a que corresponde la regla y que son gestión de

cuentas (account), gestión de autenticación (auth), gestión de passwords

(password) y gestión de la sesión (session). En esta práctica nos vamos a ocupar

de password

• control: indica el comportamiento del módulo si falla o tiene éxito. Son required,

requisite, sufficient, include o substack. Por ejemplo requisite indica que si el

módulo falla, falla todo el grupo de gestión. Include o substack indica que el control

pasa al archivo que se pasa como parámetro. No vamos a entrar en más detalles,

consulta man pam.conf

Así, la primera linea de reboot indica que para poder reiniciar la máquina, si eres el

usuario root, es suficiente condición para poder hacerlo. Auth nos indica que el tipo de

regla es de autenticación, sufficient indica que si tiene éxito se termina de procesar

reglas en la pila y pam_rootok.so es un módulo de PAM que devuelve ok si eres el

usuario root (ver man pam_rootok). Observa que no tiene parámetros la llamada a ese

módulo. La segunda línea se procesa si falla la primera. En la segunda se indica que si no

eres root (porque no has superado la primera linea), al menos debes estar conectado a

una consola física (required). Al ser required, si falla, falla todo el proceso de autenticación

y no podremos reiniciar.

2/4
 SAD 2 ASIR

Para nuestra práctica nos interesa el fichero /etc/pam.d/passwd que es el que configura

con PAM el servicio passwd, es decir, cuando un usuario se cambia o crea un password.

Si observas el fichero verás que para el grupo de gestión password, existe una regla

substack system-auth. Esto quiere decir, que se llama al fichero system-auth dentro de /

etc/pam.d. Por tanto hay que editar el fichero /etc/pam.d/system-auth, que es usado por

muchos servicios en el directorio /etc/pam.d (no tienes más que hacer grep system-auth

/etc/pam.d/* para comprobarlo.

Del fichero system-auth nos interesa la primera línea del grupo de gestión password, que

usa el módulo pam_pwquality.

Realización de la práctica

Consultando la ayuda del módulo pam_pwquality, contesta a las siguientes preguntas:

1. ¿Para qué sirve este módulo, según la información que da la ayuda?

2. ¿Qué tipo de comprobaciones hace por defecto en la nueva contraseña de un

usuario cuando se la cambia?

3. Crea el usuario prueba en el sistema y asignale una contraseña como root. Ahora

entra en el sistema como dicho usuario (p.ej: su prueba) y cambia la contraseña de

prueba por una de las siguientes: prueba, television, abeurp, patata0 y

patata12345. Indica en cada uno porque no te deja usarlo.

4. ¿Cual es la longitud mínima que debe tener la contraseña? Hazlo por prueba y

error

5. Configura el sistema editando el archivo system-auth (OJO, que puedes dejar el

sistema sin acceso si dañas este archivo) para cumplir la siguiente política:

3/4
 SAD 2 ASIR
1. que la longitud mínima de la contraseña sea 10

2. al menos debe usar 3 de las siguientes combinaciones de caracteres (clases):

mayúsculas, minúsculas, números y resto de caracteres

3. que rechace contraseñas que contengan más de 5 veces consecutivas la

misma clase de carácter (por ejemplo 5 mayúsculas o 5 números)

4. que rechace contraseñas que contengan el mismo carácter más de 4 veces

consecutivas

5. que el número de caracteres diferentes de la nueva contraseña respecto a la

anterior sea al menos 3

6. que la contraseña no coincida con el nombre de usuario directo ni al revés (ver

ayuda pam_cracklib)

7. que se guarde en el historial las últimas 5 contraseñas para que no repitan

(pista: debes hacerlo en pam_unix)

4/4