Curso y Ciclo: 2 ASIR

Mdulo: SEG

Alumno/a: Lucia Expsito Ortega

[Seguridad en los accesos al sistema GNU/Linux]

1. Comprueba la fortaleza de las contraseas de tus usuarios utilizando la herramienta john

the ripper.
2. Mejora la seguridad de tu sistema GNU/Linux aplicando las recomendaciones del artculo
http://blackhold.nusepas.com/2011/02/09/securizando-los-accesos-a-un-sistema-gnulinux/.
3. Blinda tu sistema contra ataques de fuerza bruta con la herramienta fail2ban para el servicio ssh.

1.Comprobacin de la fortaleza de nuestras contraseas.

John the ripper es una herramienta que nos permite descifrar las contraseas de los usuarios de nuestro
sistema GNU/LINUX
Lo descargamos con la siguiente orden:
wget openwall.com/john/j/john-1.8.0.tar.xz

Una vez descargado lo descomprimimos y ya podemos empezar a utilizarlo.

tar xvf john-1.8.0.tar.xz
Ahora nos metemos en el directorio src y con el comando make podemos ver para que sistemas tiene apoyo
John the ripper.

Curso y Ciclo: 2 ASIR

Mdulo: SEG

Utilizando la sintaxis de la orden make, seleccinamos nuestro sistema:

Aqui podemos ver los archivos que tenemos dentro de nuestro directorio.

Nos vamos al directorio run y desde ah ejecutamos la orden unshadow que usaremos para combinar dos
archivos en uno,que ser el que utilice John. Aqu muestro la sintaxis que se debe usar:

Curso y Ciclo: 2 ASIR

Mdulo: SEG

Ejecutamos el comando y combinamos el archivo /etc/passwd y /etc/shadw

Ahora lo redirigiremos a otro fichero, al que llamar claves.txt

Ejecutamos dicho archivo con John y nos aparecern nuestros usuarios y contraseas, aun que no todos, por
ejemplo, no es capaz de reconocer usuarios cuya contraseas no supera un carcter.

2.Mejora de la seguridad en las conexiones por ssh.

Para ello, vamos a denegar el acceso al usuario root, a permitir el acceso a un solo usuario, a cambiar el
puerto por defecto (22) y a incrementar la seguridad de los password de nuestro sistema.
PermitRootLogin no
AllowUsers nombreusuario
Port 2224
Lo primero que haremos es denegar el acceso a nuestra maquina al usuario root, para ello editamos el
fichero /etc/ssh/sshd_config descomentando la linea PermitRootLogin no

Curso y Ciclo: 2 ASIR

Mdulo: SEG

Comprobacin:
Intentamos conectar y nos deniega el acceso:

En cambio, si intentamos conectarnos con un usuario del sistema accedemos sin problemas:

Ahora habilitaremos la conexin solo para un usuario especicico, para ello aadiremos AllowUsers
nombreusuario:

Curso y Ciclo: 2 ASIR

Mdulo: SEG

Comprobacin:
Intentamos acceder con el usuario que accedimos anteriormente (lucia) y nos deniega el acceso, en cambio,
con el usuario especificado (lu) si nos permite la conexin:

Para terminar con ssh, mejoraremos la seguridad cambiando el puerto por defecto:

Curso y Ciclo: 2 ASIR

Mdulo: SEG

Implementar seguridad en el password de los usuarios.

Los usuarios no podrn utilizar password de diccionario, para ello instalamos el paquete libpam-cracklib y
lo activamos en el fichero /etc/pam.d/common-password

Para activarlo, descomentamos las siguiente linea en el fichero common-password.

password requisite pam_cracklib.so retry=3 minlen=8 difok=3
Tambin los obligaremos a que cumplan una longitud y requisitos:
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=1
ucredit=1 dcredit=1 ocredit=0
Donde:
minlen: especifica el nmero mnimo de caracteres.
lcredit: especifica el nmero mnimo de letras minsculas
ucredit: especifica el nmero mnimo de letras maysculas
dcredit: especifica el nmero mnimo de caracteres numricos ocredit especifica el nmero de caracteres de
otro tipo, como por ejemplo smbolos.

En el fichero /etc/login.defs especificaremos el tiempo de validez del password:

Curso y Ciclo: 2 ASIR

Mdulo: SEG
Nos har cambiar la contrasea pasados 2 dias, avisndonos cada vez que hagamos login el dia previo a
caducar.
Adems para forzar que no se repitan los passwords, pam_unix.so nos permite guardar los passwords usados
en un fichero llamado opasswd dentro de /etc/security, para activar esto tendremos que volver a editar el fichero
common-password y modificar la linea:
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=10
Lo siguiente para evitar que alguien pille un usuario y empiece a probar passwords, vamos a definir un numero
mximo de intentos y un tiempo de gracia para que el usuario en cuestin pueda entrar de nuevo pasado este
tiempo. Para ello editamos el fichero common-auth:
# nano /etc/pam.d/common-auth
auth required pam_tally.so onerr=fail deny=3 unlock_time=3600

Para ver si los logins fallidos de un usuario vamos a usar el comando pam_tally. En el caso que un usuario
tenga demasiados intentos fallidos, pero sea el propio usuario el que se ha hecho el auto-ataque, podemos
resetear el numero de intentos otra vez a 0.

Curso y Ciclo: 2 ASIR

Mdulo: SEG

3.Blinda tu sistema contra ataques de fuerza bruta con la herramienta fail2ban para el
servicio ssh.
Fail2ban es una aplicacin que monitorea los logs de varios servicios, para prevenir ataques, baneando a los
visitantes con un comportamiento sospecho.
Para instalarlo basta con ejecutar apt-get install fail2ban

Su fichero de configuracin se encuentra enn /etc/fail2ban/jail.conf

Podemos aadir destemail para que nos notifique por email cuando un usuario sea baneado:

Reiniciamos, para que se efectuen los cambio y comprobamos el estado del servicio:

Curso y Ciclo: 2 ASIR

Mdulo: SEG

Intentamos acceder varias veces con una contrasea incorrecta, hasta que nos muestre un mensaje de
conexin rechazada, que ser cuando el sistema nos banee (mi ip es diferente ya que no le tengo asignada
una ip fija a mi maquina).

Si miramos el archivo de log de fail2ban comprobamos como nos avisa

Pasados los 600 segundos (10 minutos) podemos ver como dicha IP puede volver a intentar acceder: