Los usuarios autorizados obtienen acceso al sistema al facilitar un nombre de usuario (nombre de inicio de sesión) y una contraseña válidos. Cada usuario se define por medio de una entrada en el archivo /etc/passwd. HP System Management Homepage (HP SMH) puede utilizarse para agregar, eliminar, desactivar, reactivar o modificar la cuenta de un usuario.
Para obtener más información sobre las contraseñas, consulte las páginas de manual de passwd(4) y passwd(1), así como la Sección de este documento.
Supervisión de las cuentas de usuario |
 |
A continuación, se indican algunas pautas para supervisar las cuentas de usuario:
Examine periódicamente la salida de los comandos last, lastb y who en busca de inicios de sesión poco comunes.
Compruebe que todos los usuarios con cuentas tienen auténtica necesidad empresarial de tener acceso al sistema.
Esté vigilante del uso compartido por varios usuarios de la misma cuenta de usuario. No permita que dos usuarios compartan la misma cuenta de usuario.
Compruebe que no hay cuentas de usuario que compartan el mismo número de identificación de usuario (UID).
Asegúrese de que todas las cuentas tienen contraseñas seguras que se cambian periódicamente.
Compruebe que todos los directorios iniciales de usuarios cuentan con los permisos adecuados. La mayoría de los directorios iniciales tienen acceso de lectura, pero no de escritura para otros usuarios. Para obtener una mayor protección, defina los permisos de lectura, escritura y ejecución sólo para el propietario del directorio.
Asegúrese de que todos los usuarios comprenden las directivas de seguridad. Coloque un archivo con las directivas de seguridad de la empresa en cada directorio inicial.
Examine el archivo /etc/passwd u otra base de datos de usuarios apropiada en busca de cuentas sin utilizar y, en concreto, de usuarios que ya no trabajen en la empresa.
Examine las cuentas de usuario root para saber quién tiene acceso de usuario root.
Considere la posibilidad de implementar la aplicación HP-UX Role-based Access Control (RBAC) para reducir al mínimo los riesgos asociados a que varios usuarios tengan acceso a la cuenta de usuario root. Para obtener más información, consulte el Capítulo 9.
Examine las cuentas de invitado para saber con qué frecuencia se utilizan.
Supervisión de las cuentas de invitado |
|
Para obtener la máxima seguridad, no permita el uso de cuentas abiertas o de invitado. Si en efecto existen cuentas de invitado, dé los pasos siguientes:
Cambie la contraseña de la cuenta de invitado con frecuencia. Puede especificar la contraseña.
Utilice un shell restringido (rsh) para limitar el acceso al sistema. Para obtener información sobre el comando rsh, consulte las páginas de manual de sh(1) y sh-posix(1).
Las cuentas de invitado a menudo se olvidan. Aplique uno de los siguientes métodos para deshabilitar la cuenta de invitado cuando no se utilice:
Utilice atributos de seguridad por cada usuario para deshabilitar automáticamente la cuenta transcurrido un determinado número de días de inactividad. Para obtener más información, consulte la página de manual de security(4) y la Sección .
Utilice el siguiente comando para bloquear la cuenta de invitado:
Utilice el siguiente comando para eliminar la cuenta de invitado:
Programe un trabajo at para bloquear automáticamente cuentas temporales:
# at now +14 days passwd -l cuenta_temporal
|
Analice periódicamente los archivos /var/adm/wtmp y /var/adm/sulog en busca de cuentas sin utilizar.
Para obtener más información, consulte las páginas de manual de sh(1) y su(1).
Creación de cuentas de usuario de aplicaciones |
|
Si los usuarios utilizan sólo HP-UX para iniciar una aplicación, no necesitan tener acceso a un shell. Estos usuarios únicamente deberían utilizar la aplicación (por ejemplo, un sistema de administración de bases de datos) y no necesitan tener acceso a ninguna funcionalidad de HP-UX.
Para restringir el acceso a HP-UX, modifique el archivo /etc/passwd de manera que sólo se ejecute un comando específico después de que el usuario inicie una sesión. El archivo /etc/passwd contiene información fundamental necesaria durante el inicio de la sesión:
Programa de inicio de sesión
Normalmente, el programa de inicio de sesión es un shell, como /bin/sh, pero no es necesario que lo sea. Puede crear una cuenta cautiva (una cuenta que inicia la sesión de un usuario directamente en una aplicación) identificando la aplicación como el shell de inicio de sesión.
A continuación, se muestra un ejemplo de cómo restringir la capacidad de un usuario para que ejecute sólo el comando date. La entrada de /etc/passwd es la siguiente:
nombre_usuario:rc70x.4,sx2:20:1:run only date command:/home/date:/usr/bin/date |
En el símbolo de sistema de inicio de sesión, un usuario escribe el nombre_usuario y la contraseña adecuada. El comando date se ejecuta y, a continuación, se cierra inmediatamente la sesión del usuario.
login:nombre_usuario
Password:xxxxxx
Tue Nov 14 18:38:38 PDT 2006
Administración de las cuentas de grupo |
|
Cuando un grupo deba compartir o tener acceso a archivos relacionados con un proyecto, dé estos pasos para garantizar la seguridad:
Compruebe que cada miembro tiene una entrada en el archivo /etc/passwd.
Cree una entrada para el grupo en el archivo /etc/group.
Cree un directorio compartido para el grupo.
drwxrwx-- root project /home/projects
Defina el comando umask en el perfil (~/.profile) de cada miembro del grupo. En el siguiente ejemplo, los usuarios del grupo leen, escriben y ejecutan archivos, pero nadie más puede hacerlo:
umask u=rwx,g=rwx, o=
Versión para imprimir
