Herramientas de usuario
master_cs:fortificacion:p4
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Próxima revisión | Revisión previa | ||
| master_cs:fortificacion:p4 [2025/02/25 14:49] – creado thejuanvisu | master_cs:fortificacion:p4 [2025/02/25 16:02] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 66: | Línea 66: | ||
| {{: | {{: | ||
| </ | </ | ||
| + | |||
| + | Para cmbiar el cifrado de todos los usuarios a SHA256 habría que primero cambiar cual es el cifrado predeterminado en / | ||
| + | < | ||
| + | password requisite pam_unix.so sha256 | ||
| + | </ | ||
| <WRAP column 100%> | <WRAP column 100%> | ||
| + | {{: | ||
| + | </ | ||
| + | Y tras eso modificar todas las contraseñas con un script como este: | ||
| + | <code bash> | ||
| + | for user in $(cut -f1 -d: / | ||
| + | sudo passwd --stdin $user | ||
| + | done | ||
| + | </ | ||
| + | |||
| + | ===== 4. Fuerza los siguientes requisitos para los cambios de contraseña ===== | ||
| + | * **Al menos 10 caracteres** | ||
| + | * **Debe contener mayúsculas y minúsculas** | ||
| + | * **Debe contener al menos 2 dígitos** | ||
| + | * **Debe contener al menos un caracter no alphanumérico** | ||
| + | * **No puede ser una de las 3 contraseñas anteriores** | ||
| + | |||
| + | Para aplicar dichas políticas de contraseña debemos modificar el módulo common-password de PAM añadiendo la siguiente línea: | ||
| + | < | ||
| + | password requisite pam_pwquality.so retry=3 minlen=10 minclass=4 minupper=1 mindigit=2 minother=1 | ||
| + | </ | ||
| + | |||
| + | <WRAP column 100%> | ||
| + | {{: | ||
| </ | </ | ||
| + | |||
| + | Tras esto faltaría por establecer que no se puedan usar las 3 contraseñas anteriores, apara ello añadimos en el mismo fichero la siguiente línea: | ||
| + | < | ||
| + | password requisite pam_unix.so remember=3 | ||
| + | </ | ||
| + | |||
| + | <WRAP column 100%> | ||
| + | {{: | ||
| + | </ | ||
| + | |||
| + | ===== 5. El usuario user010 SOLO puede ejecutar ls, rm, vi y wc ===== | ||
| + | Para poder limitar el usuario de estam manera debemos comenzar por modificar el módulo login de PAM con la siguiente linea | ||
| + | < | ||
| + | auth required pam_shells.so | ||
| + | </ | ||
| + | Tras eso creamos un archivo con los comandos restringidos llamado comandosrest.sh: | ||
| + | < | ||
| + | allowed_commands=(" | ||
| + | if [[ ! " ${allowed_commands[@]} " =~ " $1 " ]]; then | ||
| + | echo "No puedes ejecutar ese comando :(" | ||
| + | exit 1 | ||
| + | fi | ||
| + | </ | ||
| + | <WRAP column 100%> | ||
| + | {{: | ||
| + | </ | ||
| + | |||
| + | Tras eso volvemos al archivo de login y añadimos la siguiente línea: | ||
| + | < | ||
| + | session required pam_exec.so / | ||
| + | |||
| + | </ | ||
| + | |||
| + | |||
| + | |||
| + | ===== 6. El usuario user020 puede gestionar sistemas de archivos en el sistema usando fdisk, mkfs, mount y umount ===== | ||
| + | |||
| + | ===== 7. Cualquier usuario del sistema puede usar cualquier cosa como user010 poniendo sus datos de autenticación ===== | ||
| + | |||
| + | Para esto usamos el comando: | ||
| + | < | ||
| + | sudo visudo | ||
| + | </ | ||
| + | y dentro añadimos la línea: | ||
| + | < | ||
| + | ALL ALL=(user010) ALL | ||
| + | </ | ||
| + | <WRAP column 100%> | ||
| + | {{: | ||
| + | </ | ||
| + | |||
| + | ===== 8. Cualquier miembro del grupo adm puede realizar cualquier tarea adminsitrativa sin poner contraseña ===== | ||
| + | |||
| + | Usamos de nuevo el comando visudo y añadimos la siguiente linea: | ||
| + | |||
| + | < | ||
| + | %adm ALL=(ALL) NOPASSWD: ALL | ||
| + | </ | ||
| + | <WRAP column 100%> | ||
| + | {{: | ||
| + | </ | ||
| + | ===== 9. El usuario usuario no tiene que poner su contraseña para acceder al sistema. ===== | ||
| + | |||
master_cs/fortificacion/p4.1740494999.txt.gz · Última modificación: 2025/02/25 14:49 por thejuanvisu
Herramientas de la página
