3 votos

Bloqueo de cuenta de usuario en LDAP (sin usar ppolicy)

En esta respuesta, se sugirió que el UNIX manera de añadir un ! frente a la contraseña del campo de trabajo. Afirmo que esto no es una solución limpia. No va a hacer que los inicios de sesión imposible, sino que simplemente cambia la contraseña para el contenido literal del campo de contraseña (de la que el primer carácter es !).

Por ejemplo, suponga que el campo de contraseña ahora tiene este aspecto:

!{CRYPT}$6$rounds=1000000$xxx$yyy

Aquí, xxx stands para la sal, yyy para el hash. Esa cadena de ahora será la contraseña del usuario. Para muchos efectos prácticos, esto significa que el usuario no puede iniciar sesión en más, puesto que ella no sabe su sal. Pero, en teoría, adivinando la sal, el inicio de sesión es todavía posible. Peor aún, si un atacante obtiene la base de datos LDAP, que ahora puede fácilmente iniciar sesión en esta "bloqueado" de la cuenta, ya que de hash al parecer ya no se utiliza.

¿Cómo se puede hacer en su lugar?

1voto

Lasse Kliemann Puntos 51

Cambiar la contraseña de campo a la siguiente:

{CRYPT}!$6$rounds=1000000$xxx$yyy

O la siguiente:

{CRYPT}$6$rounds=1000000$xxx$!yyy

Según mis pruebas, esto hace que la autenticación de contraseña imposible.

No, sin embargo, cubrir otras formas de autenticación, por ejemplo con una clave SSH. Con el fin de cubrir aquellos, al menos, la cáscara debe ser ajustado a /bin/false. Recomiendo combinarlo con otra medida. En los comentarios, se sugirió para deshabilitar ~/.ssh/authorized_keys. Probablemente, la manera más segura es cambiar el grupo principal del usuario a un grupo que no está permitido para SSH en la máquina ( DenyGroups o AllowGroups característica de SSHD puede ser utilizado para esto).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: