Alterar politica de senhas no Linux com PAM

Para podermos ter um controle maior sobre a segurança dos nossos sistemas e rede de computadores, podemos definir uma política de senhas onde as mesmas devem ter um grau alto de dificuldade. Podendo definir quantidade de caracteres especiais, números, tamanho da senha, tempo que ela vai expirar, não repetir a mesma senha digitada anteriormente, etc.

Como não podemos confiar totalmente nas instruções passadas para os usuários, devemos forçar essas opções. Usaremos o pam para realizar esses ajustes.

O PAM surgiu como um intermediador entre as aplicações e o mecanismo de autenticação. Todas as aplicações agora têm suporte ao PAM, que tem uma interface de comunicação única. Então quando quisermos fazer qualquer modificação de onde autenticar, basta apenas modificar a configuração do PAM e todo o resto das aplicações já estará configurada automaticamente. Muito mais prático.

Na família Debian, o arquivo a ser ajustado será o /etc/pam.d/common-password. Em outros sistemas procure verificar se o arquivo será o mesmo. Como requisito precisaremos instalar o pacote libpam-cracklib.

Faça um backup do arquivo para garantir:

E agora vamos editá-lo, deixando com apenas a linha abaixo:

Onde:

retry = 3 : tentativas antes de retornar com erro. O padrão é 1.
minlen = 8 : O tamanho mínimo aceitável para a nova senha.
difok = 3 : Essa opção não deixa ter 3 letras iguais a senha antiga. Por exemplo a senha antigo é pastel e tentar alterar para pastoso irá ser rejeitada
ucredit = -1 : A nova senha deve conter pelo menos 1 caracteres maiúsculos.
ocredit = -2 : A nova senha deve conter pelo menos 2 caracteres especiais.

Diferença entre opções positivas e negativas

Como podemos ver na opção ucredit usamos um valor negativo isso porque os números negativos significam que queremos no mínimo o valor x, sendo uma exigência. Quando usamos o numero positivo estamos indicando o valor máximo.

Outras opções

dcredit=x: Informa a quantidade digitos, numeros, exigidos na senha
lcredit=x: Representa a quantidade caracteres minusculos, acredito que seja pouco usada

Proibir senhas já usadas

No mesmo arquivos iremos acrescentar

remember=10 : Senha não poderá ser igual as ultimas 10

Testando, lembrando que se tentar trocar senha como root, ele dará o aviso porém irá alterar a senha mesmo assim. Caso seja um usuário comum ele não irá aceita a troca da senha.

Fonte:
http://blog.marcelocavalcante.net/blog/2011/09/27/politica-de-senhas-no-linux-senhas-com-data-para-expirar/
https://www.cyberciti.biz/faq/securing-passwords-libpam-cracklib-on-debian-ubuntu-linux/

Segurança da Informação – O que preciso saber?

Hoje falaremos sobre um assunto que a cada dia se torna mais importante no mundo técnologico e corporativo, Segurança da Informação.

Segundo a ISO 27002 segurança da informação é:
A proteção da informação contra vários tipos de ameaças para garantir a continuidade do negocio, minimizar riscos, maximizar o retorno sobre os investimentos e as oportunidades de negócios.

Com a evolução da internet a empresas ampliaram seus aspectos de negócio, chegando praticamente em todos os setores e segmentos. A informatização das empresas se tornou algo necessário, migrando as informações para o formato digital. E essas informações deve ser protegidas devido ao riscos as quais elas podem estar expostas.

O que se deve proteger:

– Registro de negócios;
– Base de dados;
– Informações pessoais;
– Registros financeiros;
– Informações de mercado.

Para a segurança da informação é importante lembrar que a proteção é indiferente de onde a informação esteja, papel, computador, trafegando na rede, backup.

O que um ataque a essas informações pode acarretar:

– Negativar a imagem da empresa;
– Perda de clientes;
– Vazamento de informações;
– Prejuizo financeiro

A segurança da informação baseia-se em 3 pilares:
Confidencialidade: Garantir que a informação esteja disponivel somente as pessoas autorizadas
Integridade: Garantir que a informação esteja integra, ou seja, completa e no seu estado original
Disponibilidade: Garantir que a informação esteja disponivel e utilizavel

E pode envolver processos, tecnologia e pessoas (o elo mais fraco).

Vulnerabilidade

É uma possível falha em um procedimento ou controle de um sistema que possa ser explorada, resultando em uma brecha de segurança

# Vulnerabilidade tecnologias:

– Protocolos
– Sistema operacional
– Equipamento rede

# Vulnerabilidade de configuração:

– Manter configurações default ou inseguras
– Senhas simples
– Configuração incorreta de equipamento ou serviços

# Vulnerabilidade de Politica de segurança:

– Falta de uma politica
– Falta de controle de acessos
– Instalações de software ou hardware que nao seguem a politica
– Falta de orientação sobre a policita, quando existir

Ameaça

Quem ou que, pode explorar acidentalmente ou propositalmente alguma dessas vulnerabilidades

# Ameaças acidentais

– Falha de equipamentos
– Erro humano
– Natureza

# Ameaças propositais

– Espionagem
– Crimes
– Empregados desonestos ou insatisfeitos
– Vandalismo
– Terrorismo

Risco

É a probabilidade de uma ameaça explorar um vulnerabilidade, resultando algum impacto ou prejuizo para organização

Engenharia social

É a prática utilizada para obter informações importantes por meio das pessoas envolvidades. O atacante consegue retirar informações ou acessos sem mesmo chegar perto de um computador, somente se valendo da má instrução das pessoas.

Tipos de ataques mais comuns realizados pela internet:

Explorar vulnerabilidades
Scan de rede
Falsificação de emails
Sniffing
Força bruta
Negação de serviço (DDos)

Para diminuir os riscos pode-se usar alguns recursos, como:

– Politica de segurança
– Notificação de incidentes
– Contas e senhas
– Criptografia
– Backup
– Logs
– Ferramentas de antivirus
– Firewall

Pode-se também adotar uma política de segurança da informação, que vem a ser de muita valia para as organizações, mas isso já cabe outro post mais pra frente.