Seguridad
Deshabilitar Servicios
Para deshabilitar los servicios diferentes servicios no utilizados en AIX en servidores productivos es necesario editar los siguientes archivos:
/etc/inittab
Desbabilitar con un : al inicio de la línea lo siguiente:
:rcnfs:23456789:wait:/etc/rc.nfs > /dev/console 2>&1 # Start NFS Daemons :qdaemon:23456789:wait:/usr/bin/startsrc -sqdaemon :writesrv:23456789:wait:/usr/bin/startsrc -swritesrv :piobe:2:wait:/usr/lib/lpd/pioinit_cp >/dev/null 2>&1 # pb cleanup
/etc/rc.tcpip
Deshabilitar las siguientes líneas:
#start /usr/lib/sendmail "$src_running" "-bd -q${qpi}" #start /usr/sbin/snmpd "$src_running" #start /usr/sbin/hostmibd "$src_running" #start /usr/sbin/snmpmibd "$src_running" #start /usr/sbin/aixmibd "$src_running" #start /usr/sbin/muxatmd "$src_running"
/etc/inetd.conf
Deshabilitar los siguientes líneas
#ftp stream tcp6 nowait root /usr/sbin/ftpd ftpd #telnet stream tcp6 nowait root /usr/sbin/telnetd telnetd -a #shell stream tcp6 nowait root /usr/sbin/rshd rshd #login stream tcp6 nowait root /usr/sbin/rlogind rlogind #exec stream tcp6 nowait root /usr/sbin/rexecd rexecd #ntalk dgram udp wait root /usr/sbin/talkd talkd #time stream tcp nowait root internal #echo dgram udp wait root internal #daytime dgram udp wait root internal #time dgram udp wait root internal #xmquery dgram udp wait root /usr/bin/xmtopas xmtopas -p3 #wsmserver stream tcp nowait root /usr/websm/bin/wsmserver wsmserver -start
Configurar parámetros de passwords
Editar archivo /etc/security/user con los siguientes valores:
default: admin = false login = true su = true daemon = true rlogin = true sugroups = ALL admgroups = ttys = ALL auth1 = SYSTEM auth2 = NONE tpath = nosak umask = 022 expires = 0 SYSTEM = "compat" logintimes = pwdwarntime = 10 account_locked = false loginretries = 3 histexpire = 4 histsize = 8 minage = 4 maxage = 4 maxexpired = -1 minalpha = 4 minother = 2 minlen = 6 mindiff = 3 maxrepeats = 3 dictionlist = pwdchecks =
default: admin = false # Define el estado administrativo de un usuario login = true # su = true # Permite ejecutar la orden 'su' para cambiar su identidad a la del usuario en cuya stanza se ha definido la directiva daemon = true # rlogin = true # Acceso vi telnet o rlogin sugroups = ALL # Define los grupos cuyos miembros pueden (o que no pueden, si precedemos su nombre por el símbolo `!') acceder mediante la orden su a una cuenta determinada admgroups = # Grupos (separados por comas) de los que el usuario es administrador ttys = ALL # Terminales desde las que puede entrar. auth1 = SYSTEM # Metodo de autenticacion primario (SYSTEM=login,password) auth2 = NONE # Metodo de autenticacion secundario (NONE= no exite autenticacion) tpath = nosak # umask = 022 # Mascara expires = 0 # Fecha de expiracion SYSTEM = "compat" # logintimes = # Horas y dias en las que puede entrar. pwdwarntime = 0 # Numero de dias de antelacion para avisar al usuario antes de obligarlo a cambiar de contraseña. account_locked = false # Indica si una cuenta esta o no bloqueada. loginretries = 0 # Numero de intentos fallidos antes de bloquear la cuenta histexpire = 0 # Semanas en las que no se puede utilzar una contraseña anterior. histsize = 8 # Numero de contraseñas antiguas que no pueden reutilizarse. minage = 0 # Minimo de semanas de vigencia de una contraseña. (0=no hay caducidad, a 52=un año) maxage = 0 # Máximo de semanas de vigencia de una contraseña. (0=no hay caducidad, a 52=un año) maxexpired = -1 # Semanas de acceso al sistem para cambiar la contraseña antes de ser bloqueado(0=no hay caducidad, a 52=un año) minalpha = 4 # Mínimo de caracteres alfabéticos minother = 2 # Mínimo de caracteres no-alfabéticos minlen = 6 # Mínimo de caracteres de una contraseña mindiff = 3 # Mínimo de caracteres nuevos a usar en la nueva contraseña que no hayan sido utilizados en la contraseña anterior. maxrepeats = 3 # Máximo de repeticiones de un caracter en la contraseña. dictionlist = # pwdchecks = # minloweralpha = 0 minupperalpha = 0 mindigit = 0 minspecialchar = 0 dictionlist = default_roles =
account_locked | Una directiva básica almacenada en /etc/security/user es account_locked, que evidentemente indica si una cuenta está bloqueada o no lo está; es una variable booleana, por lo que sus posibles valores son sencillamente true o false (o equivalentemente, yes y always o no y never). Aunque es muy similar a esta, la directiva login (también booleana) no es exactamente igual: si su valor es false o equivalente el usuario no puede acceder al sistema, pero su cuenta no está bloqueada, ya que es posible llegar a ella mediante su. Otra restricción de acceso para un usuario viene determinada por rlogin, que define si un usuario puede acceder al sistema de forma remota a través de telnet o rlogin (otros métodos de acceso, como SSH, no son controlados por esta directiva). |
loginretries | Una entrada de /etc/security/user que hay que tratar con mucho cuidado, ya que incluso puede ser peligrosa para la seguridad de nuestros usuarios, es loginretries; indica el número de intentos fallidos de acceso al sistema que puede efectuar un usuario antes de que su cuenta se bloquee. Evidentemente, esto nos puede ayudar a detener a un atacante que intente acceder al sistema adivinando la contraseña de alguno de nuestros usuarios, pero es también un arma de doble filo: si un pirata quiere causar una negación de servicio a uno o varios usuarios, no tiene más que introducir el login de los mismos y contraseñas aleatorias cuando el sistema se lo solicita, lo que hará que AIX inhabilite el acceso legítimo de esos usuarios causando un perfecto ataque de negación de servicio contra los mismos. Quizás en la mayor parte de los sistemas sea una buena idea no habilitar esta directiva (asignándole un valor de 0, el que tiene por defecto), y prevenir el hecho de que un pirata pueda `adivinar' una contraseña implantando unas políticas de claves adecuadas. |
Fuentes:
TIMEOUT de sesiones
Editar archivo /etc/profile, variable TMOUT
# Automatic logout, include in export line if uncommented TMOUT=3600