Protección de la cuenta de usuario root

A continuación, se indican algunas recomendaciones para proteger la cuenta de usuario root:

No comparta la contraseña de usuario root.
No utilice la barra, /, como el directorio inicial raíz.
Examine la salida de los comandos last -R y lastb -R en busca de inicios de sesión poco comunes o infructuosos de usuario root y para comprobar quién ha iniciado una sesión como usuario root.
Examine el archivo /var/adm/sulog en busca de intentos de utilizar el comando su root.
Busque cuentas no autorizadas con un cero (0) como número de identificación de usuario; utilice el comando logins -d.

Las siguientes secciones analizan más detenidamente cómo proteger la cuenta de usuario root.

Supervisión del acceso a la cuenta de usuario root

Si hay dos o más administradores del sistema que necesitan tener acceso de usuario root, a continuación se indican algunas recomendaciones para su seguimiento:

Permita sólo inicios de sesión de usuario root directos en la consola del sistema. Cree el archivo /etc/securetty con una sola entrada, console, como sigue:
#echo console > /etc/securetty
Esta restricción se aplica a todos los nombres de inicio de sesión con un cero (0) como número de identificación de usuario. Para obtener más detalles, consulte la página de manual de login(1).
Exija a los administradores que utilicen el comando su root desde su cuenta personal para tener acceso de usuario root. Por ejemplo:
login:me $ su root password:xxxx
Supervise /var/adm/sulog para comprobar quién ha tenido acceso a la cuenta root con el comando su.

Configure una cuenta de usuario root independiente para cada administrador del sistema.

# vipw
root:xxx:0:3::/home/root:/sbin/sh
root1:xxx:0:3::/home/root1:/sbin/sh
root2:xxx:0:3::/home/root2:/sbin/sh

Supervise el archivo de historial de cada administrador del sistema como sigue:
#more ~root1/.sh_history #more ~root2/.sh_history
Supervise los intentos fructuosos e infructuosos de utilizar el comando su en el archivo /var/adm/syslog.

Uso de Restricted SMH Builder para el acceso limitado de superusuario

Si necesita proporcionar acceso limitado de superusuario a un usuario que no sea superusuario, puede activar Restricted SMH Builder. Con Restricted SMH Builder, puede habilitar o deshabilitar zonas concretas de la interface SMH para el usuario. Para activar Restricted SMH Builder, escriba:

# smh -r

Cuando los usuarios con acceso restringido ejecuten la interface SMH, tendrán el estado de superusuario en las zonas definidas y sólo podrán ver estas zonas de SMH en el menú. Todas las demás zonas de la interface SMH estarán ocultas para el usuario. Cuando los usuarios sin los permisos de acceso adecuados ejecuten la interface SMH, recibirán un mensaje de error indicándoles que deben ser superusuarios.

También se pueden agregar más aplicaciones a la interface SMH y configurarlas para el acceso restringido.

Revisión del acceso de superusuario

El archivo /var/adm/sulog registra todos los intentos de utilizar el comando su root, incluidos los infructuosos. Los intentos fructuosos se indican con un signo más (+), mientras que los infructuosos se indican con un signo menos (-). Sólo el usuario root puede ver el archivo /var/adm/sulog. Por ejemplo:

# su root

Password:

# ll /var/adm/sulog

-rw------- 1 root root 690 Aug 17 19:37 /var/adm/sulog

En el siguiente ejemplo, userone ha utilizado satisfactoriamente el comando su para tener acceso a la cuenta root. Un segundo usuario, usertwo, no pudo. Además, usertwo tampoco ha podido utilizar satisfactoriamente el comando su para tener acceso a gooduser1.

# more /var/adm/sulog

SU 08/17 19:10:00 + 0 userone-root

SU 08/17 19:36 - 0 usertwo-root

SU 08/17 19:36 + 0 userone-root

SU 08/17 19:37 - 0 usertwo-gooduser1

Protección de la cuenta de usuario root

Documentación técnica

» Tabla de contenido

» Glosario

» Índice

Supervisión del acceso a la cuenta de usuario root

Uso de Restricted SMH Builder para el acceso limitado de superusuario

Revisión del acceso de superusuario