Hoy vamos a aprender, en este pequeño post, cómo podemos desbloquear cualquier usuario de un sistema Centos 7, basándonos en que previamente les han sido aplicadas las políticas de seguridad de la guía «CCN-STIC-619 CentOS 7«, la cual podéis encontrar de manera gratuita en los enlaces de a continuación:
- Documento PDF de la guía CCN-STIC-619 para Centos 7: https://www.ccn-cert.cni.es/series-ccn-stic/guias-de-acceso-publico-ccn-stic/3677-ccn-stic-619-implementacion-de-seguridad-sobre-centos7-anexoa.html
- Fichero ZIP con los scripts de la guía CCN-STIC-619 para Centos 7: https://www.ccn-cert.cni.es/series-ccn-stic/guias-de-acceso-publico-ccn-stic/3680-ccn-stic-619-implementacion-de-seguridad-sobre-centos7-anexoa-scripts.html
- Página principal de las guías del CCN: https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic.html
Antes de continuar, me gustaría decir, cómo opinión personal, que es altamente recomendable la aplicación de estas políticas de seguridad en vuestros equipos, aunque no siempre va a ser posible la total aplicación de las mismas, por las diferentes características específicas de la plataforma sobre la que estemos trabajando.
Pasos para restablecer contraseña de cualquier usuario en máquina con esta CCN-STIC aplicada.
- Reiniciar la máquina y hacer un root by pass –> https://elblogdeladministrador.com/2018/05/25/bypass-de-root-al-arranque/
- Montar todo el sistema de nuevo en lectura y escritura: mount -o remount rw /
- Editar fichero /etc/passwd y cambiar la shell del usuario root, /bin/false por /bin/bash, guardar cambios y cerrar.
- Editar fichero /etc/selinux/config y establecer SELINUX=disabled .
- Volver a reiniciar la máquina y dejar que arranque normal .
- Iniciar sesión como root .
- Ejecutar el siguiente comando para desbloquear el usuario:
pam_tally2 –user=usuario_ejemplo –reset - Cambiar de nuevo la shell de root a /bin/false y el SELINUX=enforcing .
- Probar a conectarnos por SSH con el usuario que acabamos de desbloquear y si todo es correcto, reiniciar la máquina.
- Volver a aplicar reglas SELINUX en caso de existir antes.
Espero que esta pequeña guía os sea de utilidad.
Un saludo Sysadmins! 🙂
Deja una respuesta