 |
» |
|
|
|
Los atributos de seguridad proporcionan un control adicional de la configuración de los sistemas, al agregar mejoras de seguridad a las contraseñas, inicios de sesión y auditoría. Hay más de 20 atributos. Estos atributos se describen en la página de manual de security(4). Las categorías de atributos se pueden resumir de la siguiente manera: - Atributos de inicio de sesión
Estos atributos controlan las actividades relativas a los inicios de sesión, como las horas de inicio de sesión, el número de inicios de sesión permitidos y el número de errores de inicio de sesión permitidos antes de bloquear una cuenta. - Atributos de contraseña
Estos atributos controlan las actividades relativas a las contraseñas, como su longitud, número de caracteres y tipos, así como el nivel dentro del historial, el número de días para poder modificar una contraseña y la caducidad de las contraseñas. - Atributos de inicio
Estos atributos controlan la autenticación de inicio al definir qué usuarios están autorizados para iniciar el sistema en modo monousuario. Para obtener información sobre la autenticación de inicio, consulte el Capítulo 1. - Atributos de conmutación de usuarios (su)
Estos atributos definen el valor de la variable de entorno PATH, el nombre de grupo raíz para el comando su y si su debe propagar o no determinadas variables de entorno. Para obtener más información, consulte la página de manual de su(1). - Atributo de auditoría
Este atributo controla si se han de auditar o no los usuarios. El atributo de auditoría se comprueba durante el proceso de inicio de sesión. Para obtener más información sobre la auditoría de HP-UX, consulte la página de manual de audit(5). - Atributo umask
Este atributo controla el comando umask() de todas las sesiones iniciadas por pam_unix o pam_hpsec. Para obtener más información, consulte las páginas de manual de pam_unix(5) y pam_hpsec(5). El atributo umask se comprueba durante el proceso de inicio de sesión.
El sistema utiliza estos archivos para procesar los atributos: Cada atributo tiene un valor por usuario sólo en una de estas ubicaciones: /etc/password, /etc/shadow o la base de datos de usuarios en /var/adm/userdb. En la página de manual de security(4) se explica cada atributo y su ubicación por cada usuario. El sistema comprueba qué atributos se aplican de las siguientes maneras: El sistema examina los valores por usuario de los atributos almacenados en la base de datos de usuarios /var/adm/userdb, el archivo /etc/passwd o el archivo /etc/shadow. Si no encuentra ningún valor por usuario, el sistema examina los atributos por defecto configurables para todo el sistema en el archivo /etc/default/security. Si no encuentra atributos de este tipo, el sistema utiliza los atributos por defecto del archivo /etc/security.dsc.
El archivo de descripción de atributos de seguridad, /etc/security.dsc, enumera los atributos que se pueden definir en el archivo /etc/default/security y en la base de datos de usuarios de /var/adm/userdb. Algunos atributos se pueden configurar, mientras que otros son internos. No modifique el archivo /etc/security.dsc de manera alguna. Configuración de los atributos para todo el sistema | |
Los siguientes pasos explican cómo definir atributos de seguridad para todo el sistema. Revise la página de manual de security(4), que explica los valores por defecto configurables de los atributos para todo el sistema. Estos atributos se configuran en el archivo /etc/default/security, que también se explica en la página de manual de security(4). Si un atributo no está definido en el archivo /etc/default/security, el sistema utilizará el valor por defecto definido en el archivo /etc/security.dsc. Para obtener una explicación del archivo /etc/security.dsc, consulte la página de manual de userdb(4). Para modificar un valor por defecto configurable para todo el sistema, modifique el archivo de valores de seguridad por defecto, /etc/default/security, con un editor de texto como vi. Este archivo es de lectura universal y de escritura por el usuario root. Cada línea del archivo /etc/default/security contiene un comentario o información sobre la configuración de atributos. Las líneas de comentario van precedidas de un signo de número (#). Las líneas que no contienen comentarios presentan la forma de pares attribute=value; por ejemplo, PASSWORD_MAXDAYS=30.
Configuración de los atributos por usuario | |
Los siguientes comandos permiten configurar atributos específicos para usuarios individuales. Cuando se configuran atributos por usuario, éstos anulan los valores por defecto para todo el sistema. - userdbset
Modifica el atributo del usuario especificado para anular el valor por defecto para todo el sistema definido en el archivo /etc/default/security. Para ver un ejemplo, consulte la Sección y, para obtener información, consulte la página de manual de userdbset(1M). - userdbget
Muestra los valores definidos por el usuario para un usuario específico o todos los usuarios. Para obtener más información, consulte la página de manual de userdbget(1M). - userdbck
Comprueba los valores definidos por el usuario o soluciona los problemas relativos a estos valores. Para obtener más información, consulte la página de manual de userdbck(1M).
Por ejemplo, puede cambiar el valor de PASSWORD_MAXDAYS de 60 a 30 días sólo para el usuario amy. La contraseña de amy será válida durante 30 días en lugar de 60. Para los demás usuarios, se aplicará el valor de 60 días para todo el sistema. Utilice el siguiente procedimiento para cambiar el valor de un atributo para un usuario: Examine la página de manual de security(4), que explica los atributos para todo el sistema y sus valores, y cómo definir un valor por usuario. No todos los atributos tienen un valor por usuario. Examine las páginas de manual de los comandos userdbset, userdbget y userdbck. Decida qué usuarios se van a modificar y qué atributos se les van a aplicar. Por ejemplo, quizá desee que los usuarios del departamento de contabilidad cambien sus contraseñas cada 30 días y que una clase de alumnos cambien sus contraseñas cada trimestre. Utilice el comando userdbset para cambiar un atributo para un usuario. La información por usuario se almacena en una base de datos de usuarios, en el directorio /var/adm/userdb. Esta base de datos de usuarios se describe en la página de manual de userdb(4). No se puede utilizar el comando userdbset para configurar todos los atributos. Algunos valores por usuario se definen en los archivos /etc/passwd y /etc/shadow. Para obtener más información, consulte la página de manual de security(4). Utilice el comando userdbget para obtener información sobre los usuarios.
Ejemplos de definición de atributos para usuarios específicos con userdbsetEn el siguiente ejemplo, el comando userdbset elimina todos los atributos definidos por el usuario para el usuario joe. Cuando joe inicie una sesión, los valores por defecto para todo el sistema almacenados en el archivo /etc/default/security se aplicarán a joe. # /usr/sbin/userdbset -d -u joe |
A continuación, userdbset define la longitud mínima de la contraseña en 7 y UMASK en 0022 (022 en formato octal). Estos cambios se aplican únicamente a joe. # /usr/sbin/userdbset -u joe MIN_PASSWORD_LENGTH=7 UMASK=0022 |
En el siguiente ejemplo, userdbset muestra todos los atributos del usuario amy: # /usr/sbin/userdbget -u amy
amy AUDIT_FLAG=1
amy DISPLAY_LAST_LOGIN=0 |
En este ejemplo, el indicador de auditoría está habilitado y la característica de último inicio de sesión está deshabilitada para amy. INACTIVITY_MAXDAYS y el archivo de contraseñas ocultasEl atributo INACTIVITY_MAXDAYS definido en el archivo /etc/default/security controla si caducan las cuentas inactivas en todo el sistema. Para anular el valor por defecto para todo el sistema y configurar INACTIVITY_MAXDAYS para cada usuario, utilice el comando useradd -f o usermod -f. El comando userdel permite eliminar la configuración por usuario. Para obtener más información, consulte las páginas de manual de useradd(1M), usermod(1M) y userdel(1M). No se puede utilizar el comando userdbset para configurar el atributo INACTIVITY_MAXDAYS para cada usuario. El atributo INACTIVITY_MAXDAYS está relacionado con el campo de inactividad del archivo de contraseñas ocultas. Los comandos useradd y usermod modifican el campo de inactividad del archivo de contraseñas ocultas para el usuario especificado. Para obtener más información, consulte la descripción del atributo INACTIVITY_MAXDAYS en la página de manual de security(4). Solución de problemas con la base de datos de usuarios | |
Utilice los siguientes procedimientos para solucionar problemas relativos a la base de datos de usuarios. Problema 1: Los atributos de seguridad de un usuario parecen no estar configurados correctamente. Si sospecha que la base de datos de usuarios contiene información de un usuario no configurada correctamente, ejecute el siguiente comando: # userdbget -u nombre_usuario Los atributos configurados para el usuario nombre_usuario se mostrarán. Si un atributo no está configurado correctamente, vuelva a configurarlo. Problema 2: La base de datos de usuarios no funciona correctamente. Si necesita comprobar la base de datos de usuarios, ejecute el siguiente comando: # userdbck El comando userdbck identifica y soluciona los problemas de la base de datos de usuarios. |
Versión para imprimir
