Politica de senhas no Samba

Publicado por Luis Vitorio em 08/09/2011

[ Hits: 16.687 ]

Blog: http://twitter.com/vitorioluis

1 0

Denuncie Favoritos Indicar Impressora

Politica de senhas no Samba

Para quem usa o AD (Active Directory) da Microsoft tem algumas politicas de senhas como por exemplo, tempo de vida da senha e tamanho da senha, que ajuda muito na segurança da rede.

Para quem como eu gosta da liberdade, da rapidez e estabilidade que só um servidor Linux pode proporcionar segue uma dica para politica de senha no samba.

Apresento o Utilitário pdbedit.

Para utiliza-lo pasta colocar na seção global a seguinte opção:

passdb backend = tdbsam

Para que a senha do usuário expire a cada 45 dias e ele seja obrigado a mudá-la:

pdbedit -P "maximum password age" -C 3888000

Para que o usuário só possa mudar a senha após 7 dias depois da última troca:

pdbedit -P "minimum password age" -C 604800

O tamanho mínimo da senha será de 8 caracteres:

pdbedit -P "min password length" -C 8

Neste caso ele não poderá utilizar as últimas 3 senhas. Em conjunto com o "minimum password age" esta opção torna a política de senhas muito mais seguras:

pdbedit -P "password history" -C 3

A senha de root não expira:

pdbedit -c "[X ]" -u root

Caso seja necessário altera o nome de exibição no menu iniciar do user luis:

pdbedit -r --fullname="Viva o Linux" luis

Lista as informações do usuário:

pdbedit -Lv luis

Esse comando define que depois de 3 tentativas de login erro a conta fica bloqueada por um período, com isso que não sabe a senha não vai poder ficar chutando a senha quantas vezes quiser:

pdbedit -P "bad lockout attempt" -C 3

Nessa opção definimos o tempo de duração do bloqueio, nesse caso de 30 minutos, para definir que o bloqueio seja feito de forma manual pela área de suporte basta no lugar de "1800" colocar "-1" (menos um).

pdbedit -P "lockout duration" -C 1800

Uma das opções mais importante e fazer que o usuário troque sua senha no primeiro login, isso evita que o usuário fique utilizando a senha padrão:

net sam set pwdmustchangenow luis yes

Outra dica e quando criar a primeira senha criar uma senha por exemplo 12345 assim ela e menor que a numero minimo exigido pela politica de senha assim o usuário não pode tentar reutilizá-la.

Obs.: Os tempos são calculados em segundos isso pode ser feito através do conversor que muitos celulares tem ou na mão mesmo.

Se der um erro na hora de criar qualquer uma das politicas acima é só apagar o arquivo "account_policy.tdb" no Debian fica em "/var/lib/samba/". Ou então procurar na sua distro, use os comandos:

# updatedb
# locate account_policy.tdb

Outras dicas deste autor

Melhorando a segurança do SSH

Assistindo TV Canção Nova no Linux

Instalando o Virtualbox no Ubuntu

Atualizar de GRUB Legacy para GRUB2

Xen 4 - Habilitando Porta Serial

Leitura recomendada

Cursores do Mandriva no Slackware

Gambiarra para impedir que o Conky se esconda no LXDE

Como configurar dois IP´s em uma placa de rede

Boot automático pelo último kernel ou sistema utilizado (GRUB 2)

Fedora 12 e Vmplayer 3.0

Comentários

[1] Comentário enviado por c4ldas em 08/09/2011 - 02:58h

Bem legal essa lista. Do tdbedit eu só usava os comandos de listar informações e algum outro que não estou lembrando agora. Bom, já adicionei esse tópico nos meus feeds favoritos do Google Reader.

0 0

[2] Comentário enviado por tiekookeit em 08/09/2011 - 08:19h

show!

vlw pela dica

0 0

[3] Comentário enviado por removido em 08/09/2011 - 15:03h

Boa dica !

0 0

[4] Comentário enviado por rick_G em 07/11/2012 - 21:40h

Luis muito bom seu post, foi de grande ajuda, só tenho mais uma unica dúvida, como que eu faço para diminuir o tempo daquele aviso que a senha do usuario vai expirar em X dias? eu acho o periodo de tempo muito grande, 15 dias antes de expirar a senha já começa as mensagens, queria diminuir isso para 7 dias por exemplo, tu sabe como fazer isso?

0 0