Politicas de senhas no Samba
Enviado: 19 Jun 2013 09:28
Politicas de senhas no Samba
Para quem usa o AD (Active Directory) da Microsoft tem algumas politicas de senhas como por exemplo, tempo de vida da senha e tamanho da senha, que ajuda muito na segurança da rede.
Para quem como eu gosta da liberdade, da rapidez e estabilidade que só um servidor Linux pode proporcionar segue uma dica para politica de senha no samba.
Apresento o Utilitário pdbedit.
Para utiliza-lo pasta colocar na seção global a seguinte opção:
passdb backend = tdbsam
Para que a senha do usuário expire a cada 45 dias e ele seja obrigado a mudá-la:
$ pdbedit -P "maximum password age" -C 3888000
Para que o usuário só possa mudar a senha após 7 dias depois da última troca:
$ pdbedit -P "minimum password age" -C 604800
O tamanho mínimo da senha será de 8 caracteres:
$ pdbedit -P "min password length" -C 8
Neste caso ele não poderá utilizar as últimas 3 senhas. Em conjunto com o "minimum password age" esta opção torna a política de senhas muito mais seguras:
$ pdbedit -P "password history" -C 3
A senha de root não expira:
$ pdbedit -c "[X ]" -u root
Caso seja necessário altera o nome de exibição no menu iniciar do user luis:
$ pdbedit -r --fullname="Viva o Linux" luis
Lista as informações do usuário:
$ pdbedit -Lv luis
Esse comando define que depois de 3 tentativas de login erro a conta fica bloqueada por um período, com isso que não sabe a senha não vai poder ficar chutando a senha quantas vezes quiser:
$ pdbedit -P "bad lockout attempt" -C 3
Nessa opção definimos o tempo de duração do bloqueio, nesse caso de 30 minutos, para definir que o bloqueio seja feito de forma manual pela área de suporte basta no lugar de "1800" colocar "-1" (menos um).
$ pdbedit -P "lockout duration" -C 1800
Uma das opções mais importante e fazer que o usuário troque sua senha no primeiro login, isso evita que o usuário fique utilizando a senha padrão:
$ net sam set pwdmustchangenow luis yes
Outra dica e quando criar a primeira senha criar uma senha por exemplo 12345 assim ela e menor que a numero minimo exigido pela politica de senha assim o usuário não pode tentar reutilizá-la.
Obs.: Os tempos são calculados em segundos isso pode ser feito através do conversor que muitos celulares tem ou na mão mesmo.
Se der um erro na hora de criar qualquer uma das politicas acima é só apagar o arquivo "account_policy.tdb" no Debian fica em "/var/lib/samba/". Ou então procurar na sua distro, use os comandos:
# updatedb
# locate account_policy.tdb
Para quem usa o AD (Active Directory) da Microsoft tem algumas politicas de senhas como por exemplo, tempo de vida da senha e tamanho da senha, que ajuda muito na segurança da rede.
Para quem como eu gosta da liberdade, da rapidez e estabilidade que só um servidor Linux pode proporcionar segue uma dica para politica de senha no samba.
Apresento o Utilitário pdbedit.
Para utiliza-lo pasta colocar na seção global a seguinte opção:
passdb backend = tdbsam
Para que a senha do usuário expire a cada 45 dias e ele seja obrigado a mudá-la:
$ pdbedit -P "maximum password age" -C 3888000
Para que o usuário só possa mudar a senha após 7 dias depois da última troca:
$ pdbedit -P "minimum password age" -C 604800
O tamanho mínimo da senha será de 8 caracteres:
$ pdbedit -P "min password length" -C 8
Neste caso ele não poderá utilizar as últimas 3 senhas. Em conjunto com o "minimum password age" esta opção torna a política de senhas muito mais seguras:
$ pdbedit -P "password history" -C 3
A senha de root não expira:
$ pdbedit -c "[X ]" -u root
Caso seja necessário altera o nome de exibição no menu iniciar do user luis:
$ pdbedit -r --fullname="Viva o Linux" luis
Lista as informações do usuário:
$ pdbedit -Lv luis
Esse comando define que depois de 3 tentativas de login erro a conta fica bloqueada por um período, com isso que não sabe a senha não vai poder ficar chutando a senha quantas vezes quiser:
$ pdbedit -P "bad lockout attempt" -C 3
Nessa opção definimos o tempo de duração do bloqueio, nesse caso de 30 minutos, para definir que o bloqueio seja feito de forma manual pela área de suporte basta no lugar de "1800" colocar "-1" (menos um).
$ pdbedit -P "lockout duration" -C 1800
Uma das opções mais importante e fazer que o usuário troque sua senha no primeiro login, isso evita que o usuário fique utilizando a senha padrão:
$ net sam set pwdmustchangenow luis yes
Outra dica e quando criar a primeira senha criar uma senha por exemplo 12345 assim ela e menor que a numero minimo exigido pela politica de senha assim o usuário não pode tentar reutilizá-la.
Obs.: Os tempos são calculados em segundos isso pode ser feito através do conversor que muitos celulares tem ou na mão mesmo.
Se der um erro na hora de criar qualquer uma das politicas acima é só apagar o arquivo "account_policy.tdb" no Debian fica em "/var/lib/samba/". Ou então procurar na sua distro, use os comandos:
# updatedb
# locate account_policy.tdb