Ir al contenido España-Español
HP.com España principal Productos y Servicios Soporte y Drivers Soluciones Cómo Comprar
» Contactar con HP
Más opciones
HP.com España principal
 Guía del administrador de sistemas HP-UX: Administración de la seguridad: HP-UX 11i versión 3 > Capítulo 2 Administración de la seguridad de los usuarios y del sistema

Administración de las contraseñas
» 

Documentación técnica

Libro completo en PDF
» Comentarios
Aquí empieza el contenido

 » Tabla de contenido

 » Glosario

 » Índice

spacerspacerspacer
spacer
spacer
  		 
 

La contraseña es el símbolo más importante de identificación individual. El sistema la utiliza para autenticar a un usuario y franquearle el acceso al sistema. Puesto que las contraseñas son susceptibles a su divulgación cuando se utilizan, almacenan o conocen, deben mantenerse en secreto en todo momento. Las siguientes secciones analizan las contraseñas más detalladamente.

Responsabilidades del administrador del sistema

El administrador del sistema y todos los usuarios del sistema deben compartir la responsabilidad de la seguridad de las contraseñas. Los administradores de sistemas llevan a cabo las siguientes tareas relacionadas con la seguridad:

  • Garantizar que todos los usuarios tienen contraseñas.

  • Mantener los permisos de acceso apropiados en todos los archivos del sistema, incluidos los archivos estándar de contraseñas y de grupos: /etc/passwd y /etc/group.

  • Eliminar o anular las identificaciones de usuario y las contraseñas de los usuarios que ya no sean aptos para obtener acceso al sistema.

  • Comprobar que las contraseñas de todas las aplicaciones están cifradas.

  • Comprobar que los permisos relativos a /var/adm/btmp y /var/adm/wtmp están definidos correctamente.

  • Aplicar contraseñas de un solo uso para el acceso único de invitado.

  • Informar a los usuarios de sus responsabilidades en cuanto a la seguridad de las contraseñas.

  • Utilizar la caducidad de las contraseñas para obligar a los usuarios a que cambien periódicamente sus contraseñas.

  • Impedir la reutilización de contraseñas recientes.

  • Configurar atributos de seguridad para todo el sistema en el archivo /etc/default/security. Para obtener más información, consulte la Sección  y la página de manual de security(4).

  • Convertir el sistema para utilizar contraseñas ocultas. Para obtener más información, consulte la Sección  y las páginas de manual de shadow(4) y pwconv(1M).

Responsabilidades del usuario

Todos los usuarios deben atenerse a las siguientes reglas:

  • Recordar la contraseña y guardarla en secreto en todo momento.

  • Cambiar la contraseña inicial de inmediato y seguir modificándola.

  • Informar de los cambios de estado y de las presuntas infracciones de seguridad que se produzcan.

  • Asegurarse de que nadie les observa mientras escriben la contraseña.

Criterios para establecer una contraseña correcta

Tenga en cuenta las siguientes pautas al elegir una contraseña y comunique dichas pautas a los usuarios:

  • Elija una contraseña que tenga 6 caracteres como mínimo y 80 caracteres como máximo. Entre los caracteres especiales se pueden incluir caracteres de control y símbolos, como asteriscos y barras. En modo estándar, sólo se utilizan los 8 primeros caracteres.

  • No elija una palabra extraída de un diccionario de ningún idioma, aun cuando la escriba al revés. Hay programas de software con capacidad para buscarla con tino.

  • No elija una contraseña que pueda asociársele fácilmente; por ejemplo: el nombre de un familiar o el de una mascota, o un pasatiempo.

  • No utilice secuencias de teclado sencillas, como asdfghjkl, ni repeticiones del nombre de inicio de sesión (por ejemplo, si el nombre de inicio de sesión es ana, una opción de contraseña no aconsejable sería anaana).

  • Considere el uso de palabras escritas incorrectamente o combinaciones de sílabas de dos palabras que no guarden relación entre sí para crear contraseñas adecuadas. Otro método extendido para crear contraseñas consiste en utilizar las iniciales de un título o una frase predilectos.

  • Considere el uso de un generador de contraseñas que combine sílabas para conformar un galimatías pronunciable.

  • No comparta contraseñas con otros usuarios. La dirección debe prohibir que se compartan contraseñas.

  • Utilice siempre una contraseña. No conviene dejar el campo de contraseña vacío en el archivo /etc/passwd.

Modificación del archivo de contraseñas /etc/passwd

Un sistema estándar tiene un archivo de contraseñas: /etc/passwd.

Todas las contraseñas se cifran inmediatamente después de crear la entrada correspondiente y se almacenan en el archivo de contraseñas: /etc/passwd. En las comparaciones sólo se utilizan contraseñas cifradas.

Siga estas pautas si necesita modificar el archivo de contraseñas:

  • No permita el uso de campos de contraseñas vacíos o nulos, ya que esto supone una infracción de la seguridad. Un campo de contraseña vacío permite que cualquier usuario pueda definir una contraseña para esa cuenta.

  • No modifique directamente el archivo de contraseñas. Utilice la interface HP SMH o los comandos useradd, userdel o usermod para modificar las entradas del archivo de contraseñas. Si debe modificar directamente el archivo de contraseñas, utilice el comando vipw y compruébelo con el comando pwck. Para obtener más información, consulte las páginas de manual de vipw(1M) y pwck(1M).

Ejemplos de uso del comando passwd

A continuación, se ofrecen algunos ejemplos útiles del comando passwd:

  • Para restablecer la contraseña de un usuario: 

    # passwd user1

  • Para imponer el cambio de una contraseña en el siguiente inicio de sesión: 

    # passwd -f user1

  • Para bloquear o deshabilitar una cuenta: 

    # passwd -l user2

  • Para habilitar la caducidad de contraseñas: 

    # passwd -n 7 -x 28 user1

  • Para ver el estado de caducidad de la contraseña de un usuario específico: 

    # passwd -s user

  • Para ver el estado de caducidad de las contraseñas de todos los usuarios: 

    # passwd -sa

Formato del archivo /etc/passwd

El archivo /etc/passwd se utiliza para autenticar a un usuario en el momento de iniciar una sesión. Dicho archivo contiene una entrada para cada cuenta del sistema HP-UX. Cada entrada consta de siete campos separados por dos puntos. Una entrada típica del archivo /etc/passwd presenta este aspecto:

robin:Z.yxGaSvxAXGg:102:99:Robin Hood,Rm 3,x9876,408-555-1234:/home/robin:/usr/bin/sh

Los campos contienen los siguientes datos (enumerados en orden de aparición) separados por dos puntos:

  1. robin: el nombre de usuario (inicio de sesión), que consta de un máximo de ocho caracteres.

  2. Z.yxGaSvxAXGg: el campo de contraseña cifrada.

  3. 102: el número de identificación de usuario, un número entero que varía entre 0 y MAXINT-1 (igual a 2.147.483.646 o 231 -2).

  4. 99: el número de identificación de grupo, de /etc/group, un número entero que varía entre 0 y MAXINT-1.

  5. Robin Hood,Rm 3,x9876,408-555-1234: el campo de comentario, que se utiliza para escribir información de identificación, como el nombre completo del usuario, la ubicación y los números de teléfono. Por motivos históricos, este campo también se llama gecos.

  6. /home/robin: el directorio inicial, es decir, el directorio de inicio de sesión original del usuario.

  7. /usr/bin/sh: el nombre de ruta del shell de inicio de sesión, que se ejecuta cuando el usuario inicia una sesión.

El usuario puede cambiar la contraseña al llamar al comando passwd, el campo de comentario (el quinto campo) con el comando chfn y el nombre de ruta del programa de inicio de sesión (el séptimo campo) con el comando chsh. El administrador del sistema configura el resto de los campos. El número de identificación de usuario debe ser único. Para obtener más información, consulte las páginas de manual de chfn(1), chsh(1), passwd(1) y passwd(4).

Archivo de contraseñas ocultas /etc/shadow

La creciente potencia computacional a la que tienen acceso los descifradores malintencionados de contraseñas propicia la vulnerabilidad al descifrado de las contraseñas no ocultas que contiene el archivo /etc/passwd.

Las contraseñas ocultas (shadow passwords) mejoran la seguridad del sistema puesto que esconden las contraseñas cifradas en un archivo de contraseñas ocultas. Puede trasladar las contraseñas cifradas previamente almacenadas en el archivo /etc/passwd, que presenta acceso de lectura público, al archivo /etc/shadow, cuyo acceso se restringe sólo a un usuario con los privilegios adecuados.

Utilice los siguientes comandos para habilitar, comprobar y deshabilitar las contraseñas ocultas:

  • El comando pwconv crea un archivo de contraseñas ocultas y copia las contraseñas cifradas desde el archivo /etc/passwd al archivo /etc/shadow.

  • El comando pwck comprueba los archivos /etc/passwd y /etc/shadow en busca de incoherencias.

  • El comando pwunconv copia las contraseñas cifradas y la información de caducidad desde el archivo /etc/shadow al archivo /etc/passwd y, a continuación, elimina el archivo /etc/shadow.

Para obtener más información, consulte las páginas de manual de pwconv(1M), pwck(1M), pwunconv(1M) y shadow(4).

Tenga en cuenta lo siguiente acerca de la característica de contraseñas ocultas:

  • Cuando la característica de contraseñas ocultas está habilitada, las aplicaciones se pueden ver afectadas si obtienen acceso directo al campo de contraseña del archivo /etc/passwd para obtener información sobre la contraseña y su caducidad. Con las contraseñas ocultas habilitadas, este campo contendrá una x, lo que indica que la información se ubica en el archivo /etc/shadow.

    Las aplicaciones que utilizan las interfaces PAM para autenticar no se ven afectadas.

    Para tener acceso al archivo /etc/shadow mediante programación, utilice las llamadas a la función getspent(). Estas llamadas se parecen a las llamadas a la función getpwent() para el archivo /etc/passwd. Para obtener más información, consulte las páginas de manual de getspent(3C) y getpwent(3C).

  • En el archivo /etc/nsswitch.conf, las contraseñas ocultas son compatibles con los servicios de nombres files, NIS y LDAP, pero pueden no serlo con otros servidores de intercambio de servidor de nombres. Para configurar el sistema de manera que utilice sólo files, NIS y/o LDAP, asegúrese de que la línea passwd del archivo /etc/nsswitch.conf contiene únicamente files, NIS y/o LDAP. Si no existe el archivo /etc/nsswitch.conf o la línea passwd, el valor por defecto es sólo files. Para obtener más información, consulte la página de manual de nsswitch.conf(4).

  • La característica de contraseñas ocultas se basa en la norma de facto integrada en otros sistemas UNIX.

Los siguientes atributos, definidos en el archivo /etc/default/security, se aplican a las contraseñas ocultas. Para obtener más información, consulte la Sección  y la página de manual de security(4).

  • INACTIVITY_MAXDAYS: número de días antes de que caduque una cuenta por inactividad.

  • PASSWORD_MINDAYS: número mínimo de días que deben transcurrir para poder modificar una contraseña.

  • PASSWORD_MAXDAYS: número máximo de días durante los cuales las contraseñas son válidas.

  • PASSWORD_WARNDAYS: número de días antes de avisar a los usuarios de la caducidad de las contraseñas.

Las contraseñas ocultas son compatibles con estos productos:

  • Protocolo ligero de acceso a directorios (LDAP - Lightweight Directory Access Protocol)

  • Ignite-UX Directory Access Control (LDAP)

  • Serviceguard

Las constraseñas ocultas no son compatibles con las aplicaciones que prevean que las contraseñas estén en el archivo /etc/passwd.

Para obtener más información, consulte las siguientes páginas de manual:

passwd(1), pwck(1M), pwconv(1M), pwunconv(1M), getspent(3C), putspent(3C), nsswitch.conf(4), passwd(4), security(4), shadow(4)

Eliminación de las seudocuentas y protección de los subsistemas clave en el archivo /etc/passwd

Por tradición, el archivo /etc/passwd contiene muchas «seudocuentas», que son entradas que no están asociadas a usuarios individuales y que no tienen auténticos shells de inicio de sesión interactivo.

Algunas de dichas entradas, por ejemplo, date, who, sync y tty, se han desarrollado sólo para ofrecer mayor comodidad al usuario, ya que presentan comandos que se pueden ejecutar sin iniciar una sesión. Al efecto de fortalecer la seguridad, estas entradas se han eliminado del archivo /etc/passwd distribuido para que estos programas sólo los pueda ejecutar un usuario que haya iniciado una sesión.

El archivo /etc/passwd contiene otras entradas de este tipo porque se corresponden con procesos que son propietarios de archivos. Los programas con propietarios como adm, bin, daemon, hpdb, lp y uucp abarcan subsistemas completos y constituyen un caso especial. Puesto que estos programas conceden acceso a los archivos que protegen o utilizan, debe permitirse que funcionen como seudocuentas con entradas registradas en el archivo /etc/passwd. Las seudocuentas y las cuentas especiales acostumbradas se relacionan en el Ejemplo 2-1.

Ejemplo 2-1 Seudocuentas y cuentas especiales del sistema

root::0:3::/:/sbin/sh
daemon:*:1:5::/:/sbin/sh
bin:*:2:2::/usr/bin:/sbin/sh
sys:*:3:3::/:
adm:*:4:4::/var/adm:/sbin/sh
uucp:*:5:3::/var/spool/uucppublic:/usr/lbin/uucp/uucico
lp:*:9:7::/var/spool/lp:/sbin/sh
nuucp:*:11:11::/var/spool/uucppublic:/usr/lbin/uucp/uucico
hpdb:*:27:1:ALLBASE:/:/sbin/sh
nobody:*:-2:-2::/:

La clave del estado privilegiado de estos subsistemas es la capacidad que tienen para conceder acceso a los programas que están a su cargo, sin otorgar acceso de usuario root (uid 0). En su lugar, se define el bit de setuid del archivo ejecutable y el usuario efectivo del proceso se corresponde con el propietario del archivo ejecutable. Por ejemplo, el comando cancel forma parte del subsistema lp y se ejecuta como el usuario efectivo lp.

Una vez definido el bit de setuid, la seguridad del subsistema asociado media para imponer la seguridad de todos los programas que abarque dicho subsistema, no el sistema completo. Por lo tanto, la vulnerabilidad del subsistema a una infracción de la seguridad también se limita sólo a esos archivos del subsistema. Las infracciones de seguridad no pueden afectar a los programas de otros subsistemas. Por ejemplo, los programas de lp no afectan a los programas de daemon.

Inicio de sesión seguro con HP-UX Secure Shell

HP-UX Secure Shell proporciona inicio de sesión remoto seguro, transferencia de archivos y ejecución remota de comandos. Toda la comunicación entre el cliente y el servidor se cifra. Las contraseñas que se transmiten a través de la red nunca se envían como texto no cifrado. Para obtener más información, consulte la página de manual de ssh(1) y la Sección .

Seguridad de las contraseñas almacenadas en el servicio NIS

El servicio de información de red (NIS - Network Information Service) forma parte del sistema de archivos de red (NFS - Network File System). NIS permite administrar la configuración de varios sistemas host desde una ubicación central, un servidor maestro. En lugar de tener las configuraciones de los sistemas host almacenadas por separado en cada host, la información se consolida en una ubicación central. El archivo /etc/password es uno de los diversos archivos de configuración almacenados en el servidor NIS.

El archivo de contraseñas ocultas /etc/shadow no es compatible con el servicio NIS.

Para obtener información sobre el servicio NIS, consulte el documento NFS Services Administrator's Guide.

Seguridad de las contraseñas almacenadas en un servidor de directorio LDAP

LDAP-UX Client Services interactúa con los módulos PAM para autenticar las contraseñas almacenadas en un servidor de directorio LDAP. La biblioteca PAM_LDAP proporciona el servicio de autenticación.



Autenticación de los usuarios con los módulos PAM
  		 


Definición de los atributos de seguridad del sistema  
Versión para imprimir
Declaración de privacidad El uso de este sitio implica la aceptación de sus términos de uso
© 2008 Hewlett-Packard Development Company, L.P.