Ir al contenido España-Español
HP.com España principal Productos y Servicios Soporte y Drivers Soluciones Cómo Comprar
» Contactar con HP
Más opciones
HP.com España principal
 Guía del administrador de sistemas HP-UX: Administración de la seguridad: HP-UX 11i versión 3 > Capítulo 2 Administración de la seguridad de los usuarios y del sistema

Autenticación de los usuarios durante el inicio de sesión
» 

Documentación técnica

Libro completo en PDF
» Comentarios
Aquí empieza el contenido

 » Tabla de contenido

 » Glosario

 » Índice

spacerspacerspacer
spacer
spacer
  		 
 

Para obtener acceso a un sistema y sus recursos, los usuarios necesitan iniciar una sesión. Al controlar el acceso al sistema, puede intentar impedir que usuarios no autorizados tengan acceso al mismo. No obstante, aunque usuarios no autorizados obtengan acceso, puede seguir impidiéndoles que ejecuten programas que consuman recursos y que tengan acceso a datos del sistema. Esta sección explica lo que ocurre durante el proceso de inicio de sesión (login), desde el momento en que se escribe el nombre de usuario hasta el momento en que se tiene acceso a un símbolo del sistema del shell.

Explicación del proceso de inicio de sesión

Los siguientes pasos describen el proceso de inicio de sesión. Esta información muestra lo importante que es crear nombres de usuario únicos y mantener una directiva de seguridad mediante contraseñas. Para obtener más información, consulte la página de manual de login(1).

  1. Una vez instalado el sistema, el Login Manager de escritorio muestra una pantalla de inicio de sesión. Si está instalado, el entorno Common Desktop Environment (CDE) muestra una pantalla de inicio de sesión CDE.

  2. El programa init crea un proceso getty, que solicita un nombre de usuario. Escriba su nombre de usuario. El programa getty transmite el nombre de usuario al programa login.

  3. El programa login busca el nombre de usuario en el archivo /etc/passwd.

    • Si el nombre de usuario existe, login continúa con el paso 4.

    • Si el nombre de usuario no existe, login realiza las siguientes comprobaciones:

      • Solicita una contraseña (Password: ).

      • Si se especifica una contraseña no válida, el sistema muestra el mensaje de error Invalid login.

      • Actualiza el archivo /var/adm/btmp, si existe. El archivo /var/adm/btmp realiza un seguimiento de los intentos de inicio de sesión no válidos. Para obtener más información, consulte la Sección .

      • Se cierra después de tres intentos de inicio de sesión no válidos consecutivos.

  4. El proceso login comprueba el archivo /etc/passwd.

    • Si el campo de contraseña está definido, login solicita una contraseña y continúa con el paso 5.

    • Si el campo de contraseña no está definido, el usuario no necesita una contraseña y login continúa con el paso 6.

  5. El proceso login compara la contraseña con la contraseña cifrada en /etc/passwd.

    • Si la contraseña coincide, login continúa con el paso 6.

    • Si la contraseña no coincide, login muestra el mensaje Invalid login. El proceso login permite tres intentos de inicio de sesión consecutivos. Tras el tercer intento de inicio de sesión no válido por parte del usuario, login se cierra.

  6. El proceso login actualiza el archivo /var/adm/wtmp, que realiza un seguimiento de los inicios de sesión válidos. Para obtener más información, consulte la Sección .

    Tras un inicio de sesión fructuoso, se inicializan las identificaciones de usuario y de grupo, la lista de acceso a grupos y el directorio de trabajo.

  7. A continuación, el proceso login ejecuta el comando especificado en el campo de comando del archivo /etc/passwd. Normalmente, el campo de comando contiene el nombre de ruta de un shell, como /bin/ksh, /bin/csh o /bin/sh. Si el campo de comando está vacío, el valor por defecto es /bin/sh.

    No es necesario que el campo de comando especifique un shell. Para obtener un ejemplo de la ejecución de otro comando, consulte la Sección .

  8. Una vez realizada la inicialización del shell, el sistema muestra un mensaje de solicitud y espera a que el usuario introduzca la información solicitada.

Puede hacer que el proceso login realice una autenticación adicional de los usuarios mediante los módulos de autenticación enchufables (PAM - Pluggable Authentication Modules). Para obtener más información, consulte la página de manual de pam.conf(4) y la Sección .

Comprobación de los archivos de seguimiento de inicios de sesión (btmp y wtmp)

Los siguientes archivos mantienen un registro de los inicios de sesión:

  • El archivo /var/adm/btmp realiza un seguimiento de los inicios de sesión infructuosos.

  • El archivo /var/adm/wtmp realiza un seguimiento de los inicios de sesión fructuosos.

Utilice el comando lastb para leer el archivo /var/adm/btmp y comprobar si algún usuario no autorizado ha intentado iniciar una sesión.

Utilice el comando last para leer el archivo /var/adm/wtmp.

Los comandos last y lastb muestran la información de usuarios más reciente, en orden descendente.

Los archivos wtmp y btmp tienden a aumentar de tamaño sin límite, por lo tanto, compruébelos con regularidad. Periódicamente, elimine información que ya no sea útil para evitar que el archivo se haga demasiado grande. Los archivos wtmp y btmp no son creados por los programas que los mantienen. Si estos archivos se eliminan, el mantenimiento del registro de inicios de sesión se desactivará.

Un error habitual que cometen los usuarios durante el inicio de sesión es introducir la contraseña, o parte de ella, en el mensaje de solicitud de inicio de sesión. Este inicio de sesión infructuoso se registra en el archivo btmps y expone la contraseña o parte de ella. Por este motivo, la protección de los archivos en btmps debe definirse para que sólo lo lean los administradores.

# chmod 400 /var/adm/btmps

Si la directiva de seguridad requiere que las sesiones anteriores de un usuario no las vea otro usuario, es posible que también sea necesario modificar la protección del archivo /var/adm/wtmp.

Para obtener más información, consulte las páginas de manual de last(1), utmp(4) y wtmp(4).

La base de datos utmp es una base de datos de contabilidad de usuarios administrada y sincronizada según /var/adm/utmp mediante el comando utmpd. Los programas de aplicación pueden tener acceso a la base de datos utmps. Consulte las páginas de manual de utmpd(1M) y utmps(4).

Ejemplos del comando «last»

Esta sección contiene ejemplos de uso del comando last. El siguiente comando enumera todas las sesiones del usuario root y todas las sesiones en el terminal de consola:

# last root console | more
root pts/1 Mon Mar 12 16:22 - 18:04 (01:41)
abcdeux console Mon Mar 12 10:13 - 10:19 (00:06)
root pts/2 Fri Mar 9 13:51 - 15:12 (01:21)
abcdeux console Thu Mar 8 12:21 - 12:22 (00:00)
root pts/ta Wed Mar 7 15:38 - 18:13 (02:34)

El siguiente comando muestra cuándo se han producido reinicios:

# last reboot
reboot system boot Sun Mar 28 18:06 still logged in
reboot system boot Sun Mar 28 17:48 - 18:06 (00:17)
reboot system boot Sun Mar 28 17:40 - 17:48 (00:08)
reboot system boot Thu Feb 19 18:25 - 17:40 (37+23:15)
reboot system boot Mon Feb 16 13:56 - 18:25 (3+04:28)

Comprobación de quién ha iniciado una sesión

El comando who examina el archivo /etc/utmp para obtener información actualizada de los inicios de sesión de los usuarios. Además, el comando who puede mostrar una lista de los inicios de sesión, cierres de sesión, reinicios, cambios en el reloj del sistema y procesos creados por el proceso init.

Utilice el comando who -u para supervisar quién ha iniciado una sesión actualmente. Por ejemplo:

# who -u
aperson console Aug 5 11:28 old 5796 system.home.company.com
aperson pts/0 Aug 17 18:11 0:03 24944 system
aperson pts/1 Aug 5 11:28 1:14 5840 system

Para obtener más información, consulte la página de manual de who(1).



Administración del acceso de los usuarios
  		 


Autenticación de los usuarios con los módulos PAM  
Versión para imprimir
Declaración de privacidad El uso de este sitio implica la aceptación de sus términos de uso
© 2008 Hewlett-Packard Development Company, L.P.