10.07.2015 Views

TuxInfo 22

TuxInfo 22

TuxInfo 22

SHOW MORE
SHOW LESS

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

UmaskEn la distribuciones de Debian la máscara de los usuarios si no se modifica es 0<strong>22</strong> permitiendoque los archivos generados sean de lectura pública.Siguiendo las mejores prácticas de seguridad se recomienda la configuración del daemon umaska 027 lo cual permitirá únicamente que el owner y grupo puedan leer el archivo generado.Modificamos los archivos:/etc/profile/etc/login.defs/etc/pam.d/common-sessionLímite de logueo de usuarioPara evitar el abuso de terminales abiertas se debe limitar la cantidad de sesiones abiertas porusuarios.Este parámetro es configurado en el archivo /etc/security/limits.conf donde se debe especificar elvalor de la variable maxlogins en 3, siendo 3 el número máximo de terminales abiertas porusuario.A fin de no entorpecer la operatoria diaria se recomienda incrementar este valor pero que elmismo no supere las 10 sesiones concurrentes por usuario.~$ echo -e "* \t\t hard \t\t maxlogins \t\t 3" >> /etc/security/limits.confDebido a que muchos usuarios dejan terminales abiertas indiscriminadamente sin actividad serecomienda expulsar a los usuarios que estén conectados en el sistema con más de 15 minutosde inactividad.~$ echo "TMOUT=900" >> /etc/profile~$ echo "export TMOUT" >> /etc/profileExpiración de cuentas de usuariosEn caso que la organización posea una política de password en custodia se recomiendaestablecer las siguientes políticas en el archivo /etc/shadow:.- Cantidad de días de vida de una password (30)..- Cantidad de días de preaviso antes que la password expire (7)..- Cantidad de días de inactividad para que se bloquee la cuenta (60)..- Cantidad de días mínimos antes de cambiar una password (7).Esto debe ser configurado en el archivo /etc/shadow mediante el comando passwd y usermod.~$ usermod –f 60 usuario~$ passwd –x 30 –w 7 –n 7 usuarioEn caso que no tengamos estas políticas preestablecidas debemos agregarlas utilizando elsiguiente script:cd /etc#Hacemos backup del archivo: login.defscp login.defs login.defs.backupawk '($1 ~ /^PASS_MAX_DAYS/) { $2="30" }($1 ~ /^PASS_MIN_DAYS/) { $2="0" }($1 ~ /^PASS_WARN_AGE/) { $2="7" }($1 ~ /^PASS_MIN_LEN/) { $2="8" }{ print } ' login.defs > login.defs.auxiliarmv -f login.defs.auxiliar login.defschown root:root login.defschmod 640 login.defsuseradd -D -f 752

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!