Capítulo 6. Seguridad

Cómo tratar las coincidencias de modo autoritario en las búsquedas y entradas de sudo

La herramienta sudo se puede consultar en el archivo /etc/nsswitch.conf para entradas de los usuarios de sudo y búsquelas en archivos o mediante LDAP. Anteriormente, cuando se encontraba una coincidencia de entradas de sudo en la base de datos, la búsqueda aún continuaba en otras bases de datos (incluidos archivos). En Red Hat Enterprise Linux 6.4, se ha añadido una opción al archivo /etc/nsswitch.conf que permite a los usuarios especificar una base de datos después del cual una coincidencia de una entrada de sudo es suficiente. Esto elimina la necesidad de consultar otras bases de datos; mejorando así el rendimiento de las entradas de sudo en grandes entornos. Esta conducta no está predeterminada y debe ser configurada al añadir la cadena [SUCCESS=return] después de la base de datos seleccionada. Cuando se encuentre una coincidencia que preceda directamente esta cadena, no se consultará a otras bases de datos.

Revisiones adicionales de contraseña para pam_cracklib

El mdulo pam_cracklib ha sido actualizado para añadir múltiples revisiones de fortaleza de contraseñas:
  • Algunas políticas de autenticación no aceptan contraseñas que contengan secuencias largas tales como "abcd" or "98765". Esta actualización introduce la posibilidad de limitar la longitud máxima de dichas secuencias mediante la nueva opción maxsequence.
  • El módulo pam_cracklib ahora permite revisar si una nueva contraseña contiene palabras del campo GECOS desde entradas en el archivo /etc/passwd. El campo GECOS sirve para almacenar información adicional sobre el usuario, tal como el nombre completod del usuario o un número telefónico, que podría ser utilizado por el atacante para para intentar adivinadr su contraseña.
  • El módulo pam_cracklib ahora permite especificar el número máximo permitido de caracteres consecutivos de la misma clase (minúsculas, mayúsculas, números y caracteres especiales) en una contraseña mediante la opción maxrepeatclass option.
  • El módulo pam_cracklib ahora soporta la opción enforce_for_root, la cual aplica las restricciones de complejidad en las contraseñas para la cuenta de root.

Opción de tamaño para polinstanciación de tmpfs

En un sistema con múltiples montajes tmpfs, es necesario limitar su tamaño para evitar que ocupen toda la memoria del sistema. PAM ha sido actualizada para permitir que los usuarios especifiquen el tamaño máximo del montaje del sistema de archivos tmpfs al usar polinstanciación instancias mediante la opción mntopts=tamaño=<tamaño> en el archivo de configuración /etc/namespace.conf.

Bloqueo de cuentas inactivas

Algunas políticas de autenticación requieren soporte para bloqueo de una cuenta que no sea utilizada por un cierto periodo de tiempo. Red Hat Enterprise Linux 6.4 introduce una función adicional para el módulo pam_lastlog, el cual le permite a los usuarios bloquear sus cuentas después de un número de días configurable.

Nuevos modos de funcionar para libica

La biblioteca libica, la cual contiene un grupo de funciones y herramientas para acceder al hardware de Acelerador criptográfico (ICA) eServer System z de IBM, ha sido modificada para permitir el uso de los nuevos algoritmos que soportan instrucciones de Asistente de seguridad de mensajes Extensión 4 en el Asistente de procesador central para la función criptográfica(CPACF). Para las cifras de bloques DES y 3DES, los siguientes modos de operación ahora tienen soporte:
  • Encadenamiento de bloques de cifras con Robo de Ciphertext (CBC-CS)
  • Código de autenticación de mensajes basados en cifras (CMAC)
Los siguientes modos de operación para la cifra de bloques AES, ahora tienen soporte:
  • Encadenamiento de bloques de cifras con Robo de Ciphertext (CBC-CS)
  • Contador con Código de encadenamiento de cifra de bloque (CCM)
  • Galois/Contador (GCM)
Esta aceleración de algoritmos complejos mejora de forma significativa el rendimiento de máquinas System z de IBM.

Optimización y soporte para la biblioteca de compresión zlib de System z

La biblioteca zlib, una biblioteca de compresión de datos sin pérdidas, ha sido actualizada para mejorar el rendimiento de compresión en System z de IBM.

Configuración de cortafuegos de reserva

Los servicios iptables y ip6tables ahora proporcionan la capacidad de asignar una configuración de cortafuegos de reserva si las configuraciones no se pueden aplicar. Si falla la aplicación de reglas de cortafuegos desde /etc/sysconfig/iptables, el archivo de reserva se llama /etc/sysconfig/iptables.fallback y usa el formato de archivo iptables-save (igual a /etc/sysconfig/iptables). Si la aplicación del archivo de reserva también falla, no habrá ninguna otra reserva. Para crear un archivo de reserva, use las herramientas estándar de configuración de cortafuegos y cambie el nombre o copie el archivo de reserva. Use el mismo proceso para el servicio ip6tables service, only replace all occurrences of iptables con ip6tables.