3 de junio de 2009

Fortalecimiento básico de Linux: login.defs (4/8)

Este archivo define la configuración para la suite de programas que manejan los passwords del sistema, en este caso hablamos de la suite de shadow.

Página manual: man 5 login.defs

Este archivo típicamente trae entradas como las siguientes:

CHFN_AUTH yes | no Si está puesto a yes, chfn y chsh solicitarán autenticación del usuario
antes de ejeutar cualquier cambio, a menos que se ejecute como super usuario.

CHFN_RESTRICT

CREATE_HOME yes | no . Define si es que el programa useradd deberá crear el directorio hogar del usuario.

GID_MAX int / GID_MIN int. Rango de ID's para escoger para los grupos.

MAIL_DIR string. El directorio en el que se guarda la cola de correos electrónicos de salida

PASS_MAX_DAYS int. El número máximo de días en el que un password puede usarse. Una ves que esta contraseña ha expirado, se forzará a que el usuario lo cambie.

PASS_MIN_DAYS int. El número mínimo de días permitidos entre cambios de contraseña. Cualquier intento de cambiar el password antes de este número de días será rechazado.

PASS_WARN_AGE int. El número de días antes de que el password expire, el sistema mostrará un mensaje de advertencia.

Debe hacerse notar que PASS_MIN_DAYS, PASS_MAX_DAYS y PASS_WARN_AGE sólo tendrán efecto durante la creación de cuentas de usuario. Cualquier cambio posterior no afectará a los usuarios previamente creados.

UID_MAX int / UID_MIN int. Rango de ID's para escoger para los usuarios.

UMASK int. La máscara de permisos. Si no se especifica, el permiso será 077.

FAIL_DELAY int. El retardo en aparecer el prompt de login después de algún fallo.

DIAPLUS_CHECK_ENAB yes|no. Permitir contraseñas adicionales sobre las líneas de dialup.

FAILLOG_ENAB yes|no. Permitir que las fallas al accesar al sistemase guarden en la bitácora /var/log/faillog

LOCK_UNFAIL_ENAB yes|no. Permitir que se guarden en la bitácora los nombres de usuarios no conocidos cuando se genere un fallo .

LOG_OK_LOGINS yes|no. Permitir que se guarde en las biácoras los nombres de usuarios cuando no hay error.

LASTLOG_ENAB yes|no. Permite que se guarde la hora de entrada al sistema en la bitácora /var/log/lastlog

MAIL_CHECK_ENAB yes|no. Permite que se revise el malbox del usuario cuando éste, entre al sistema

OBSCURE_CHECKS_ENAB yes|no. Permite que se realicen otros chequeos sobre cambios de la contraseña

PORTTIME_CHECKS_ENAB yes|no. Permite que se revisen restricciones establecidas en /etc/porttime

QUOTAS_ENAB yes|no. Permite que se programen ulimit, umask y niceness en el campo gecos del archivo /etc/passwd.

SYSLOG_SU_ENAB yes|no. Habilita el monitoreo y registro en bitácoras de la actividad de su.

SYSLOG_SG_ENAB yes|no. Permite el monitoreo de los comandos newgrp y sg.

CONSOLE string. Define desde qué terminales se puede logear el usuario root. Puede ser la ruta de un archivo que contenga la lista de estos dispositivos o bien, los dispositivos separados por dos puntos (:).

SULOG_FILE string. Toda la actividad del comando su será guardada en este archivo de bitácora.

MOTD_FILE string. Si se define, se mostrará el o los archivos de message of the day. Se usan do spuntos (:) como separador de archivos.

ISSUE_FILE string. Si se define, este archivo será impreso en la pantalla, justo antes de cada intento de acceso al sistema.

TTYPE_FILE string. Si se define, en este archivo se hará el mapeo de cada línea tty hacia un tipo de terminal. Cada línea de este archivo puede tener un formato como "vt100 tty01"

FTMP_FILE /var/log/btmp Si se define, todos los accesos al sistema fallidos serán registrados aquí en un formato utmp.

NOLOGINS_FILE /etc/nologin

SU_NAME su

2 comentarios:

isshin dijo...

muy buena explicacion, te dejo mi blog http://diarioisshin.blogspot.com/

Unknown dijo...

Excelente explicación, pero tengo una pregunta, si yo realizo un cambio en este archivo login.defs, como hago para que tome el cambio, es decir, tengo que reiniciar algun servicio, ejecutar algun comando, o simplemente algo el cambio y ya lo toma?