Autor:Yenier Del Valle González/ yenier.delvalle@ltu.jovenclub.cu
Como parte importante para las organizaciones cubanas, fundamentalmente en las relacionadas con las Tecnologías de la Información y la Comunicación, como es el caso de Joven Club; es el uso de políticas de seguridad para prevenir hechos que afecten la integridad de la información. Para ello se debe hacer cumplir con lo establecido en el artículo 47 de la Ley 127 del 2007 donde se establece el Reglamento de seguridad para las tecnologías de la información, y en plan de seguridad informática de cada Joven Club de Computación y Electrónica (JCCE) también debe abordar sobre este tema. En este artículo se describe la implementación de políticas de seguridad para cuentas de usuarios en un Controlador de Dominio Primario (PDC) con Samba y OpenLDAP de Linux como con la herramienta pdbedit.
Debe tenerse en cuenta que todas las operaciones mencionadas en este tutorial fueron estabilizadas en samba 2:3.2.5 de Debian Lenny. También han sido implementadas en Debian squeeze y en Ubuntu Server Hardy 8.04 obteniendo resultados satisfactorios con la implementación de lo dispuesto en este tutorial.
A continuación muestro las distintas opciones que pueden ser utilizadas por el pdbedit para las distintas políticas con respecto a los usuarios.
Las políticas que se pueden configurar son:
min password length / mínimo longitud de la contraseña
password history / historial de contraseñas
user must logon to change password / usuario debe iniciar la sesión para cambiar contraseña
maximum password age / edad máxima de la contraseña
minimum password age / la edad mínima de la contraseña
lockout duration / duración del bloqueo
reset count minutes / restablecer minutos de conteo
bad lockout attempt / mal intento de bloqueo
disconnect time / tiempo de desconexión
refuse machine password change / negarse máquina de cambio de contraseña
Para hacer uso de este tutorial se debe importar el contenido de ldapsam hacia tdbsam que es con el que se va a trabajar. Esto se puede hacer mediante la ejecución del comando: pdbedit -y -i tdbsam -e ldapsam
Si quiero ver la información de un usuario a través del atributo SambaSAMAccount se puede visualizar utilizando la herramienta pdbedit: pdbedit -Lw o pdbedit -Lv Estudiantes para un usuario en específico.
En caso de las cuentas colectivas como la de estudiantes que es utilizada para los distintos fines de los usuarios, no es recomendable que las contraseñas caduquen por lo que para ello se debe especificar al pdbedit que estas no caduquen. Esto se logra con el siguiente comando: pdbedit -c «[X ]» -u Estudiantes. De querer que las contraseñas de este usuario caduquen nuevamente solo basta con dejar la linea de código como esta, con la diferencia que hay que quitar la X.
En nuestro ejemplo, se implementan ajustes de estricto cumplimiento. En la política siguiente se establece un mínimo de ocho caracteres para las contraseñas, predeterminado su valor está en 5. pdbedit -P «min password length» -C 8.
En este ejemplo, se recordarán las últimas tres contraseñas. Esto significa que una contraseña antigua se puede reutilizar sólo después de que ya se han utilizado tres contraseñas únicas, predeterminado éste está en «0» o apagado. pdbedit -P «password history» -C 3.
En este ejemplo, queremos que una edad mínima de contraseña sea ocho días (691.200 segundos), es decir, que la contraseña no se podrá modificar hasta pasados 8 días vigentes, su valor prefeterminado es 0 o apagado. pdbedit -P «minimum password age» -C 691200.
Las contraseñas deben cambiarse cada 45 días ya que este es el tiempo máximo de vida que se establece en segundos como la anterior (3.888.000 segundos), pasado este tiempo, la contraseña caduca impidiendo el inicio de sesión al usuario, predeterminado éste está en -1 es decir que nunca expiran. pdbedit -P «maximum password age» -C 3888000.
En próximo ajuste se asegura de que la cuenta de usuario se bloqueará después de tres intentos de conexión fallidos. Este es un medio importante por la que los intentos para averiguar contraseñas pueden ser frustrados, predeterminado éste está en 0 o apagado. pdbedit -P «bad lockout attempt» -C 3.
Lo siguiente indica que el usuario bloqueado estará 5 minutos por este concepto sin poder utilizar la máquina, se debe aclarar que mientras el usuario esté intentando loguearse éste reiniciará el conteo de los 5 minutos a partir del último intento, el valor predeterminado está en 0 o apagado. pdbedit -P «lockout duration» -C 5.
Referencias bibliográficas
Desde Localhost. (s. f.). Recuperado el 19 de agosto de 2015, de http://desdelocalhost.blogspot.com/2012/05/establecer-vigencia-y-reglas-sobre.html
Políticas de contraseñas… (2014). Recuperado el 19 de agosto de 2015, de http://blog.unlugarenelmundo.es/2014/02/08/politicas-de-contrasenas-y-control-de-acceso-en-debian/
Política de seguridad. (2013). Recuperado el 21 de agosto de 2015, dehttps://github.com/jsarba/applypolicy/wiki/Pol%C3%ADtica-de-seguridad-para-RedHat-Linux-ES-y-WS
http://www.seguridad.unam.mx/noticia/?noti=1271
Veinticinco consejos para aumentar la seguridad. (2013). Recuperado el 17 de agosto de 2015, dehttps://cristyasir2.files.wordpress.com/2012/01/practica-3-2-seguridad-de-un-sistema-linux.pdf