USUARIOS Y SEGURIDAD DEL SISTEMA USUARIOS USUARIOS

Transcripción

1 Y SEGURIDAD DEL SISTEMA CONTENIDOS: 1. Usuario y grupos 2. Integridad: seguridad física 3. Protección: seguridad lógica CONTENIDOS: 1. Usuario y grupos 1.1. Tipos de usuarios Atributos que definen el perfil Mantenimiento de los usuarios Organización lógica de usuarios. Y SEGURIDAD DEL SISTEMA OBJETIVOS: Saber cuáles son los atributos básicos que definen el perfil de un usuario del sistema, así como diferentes formas de registrarlas en el sistema. Dominar las técnicas, procedimientos y utilidades más usuales para crear, modificar atributos y eliminar usuarios. Comprender la necesidad de la creación de grupos de usuarios. Saber que se entiende por seguridad física, así como recomendaciones y recursos necesarios para asegurarla. Dominar las técnicas, procedimientos y utilidades usadas frecuentemente para garantizar la seguridad física del sistema. Dominar las técnicas, procedimientos y utilidades que se pueden utilizar ante situaciones de pérdida de datos. Saber que se entiende por seguridad lógica, de la importancia que tiene hoy día y las vías de entrada y técnicas usados empleadas por los usuarios intrusos. Dominar técnicas y procedimientos utilizados para evitar tanto el acceso de intrusos, así como detectar los intentos de estos. Tipos de usuarios Qué es un usuario? (desde el punto de vista del sistema) Ejemplos de clases de usuarios típicos: El administrador (root). El que ejecuta de los procesos del sistema (daemon). El propietario de las utilidades del sistema comúnmente utilizada por los usuarios (bin). El propietario de los ficheros del sistema (sys) El propietarios de subsistemas (cron, mail, news, usenet). 1

2 Atributos que definen el perfil: Nombre (name) Palabra clave de paso (code_passwd) Identificador numérico del sistema (UID) Identificador numérico primario de grupo (GID) Información del usuario (GECOS) Directorio inicial de trabajo (HOME) Intérprete de comandos(shell) Información de entorno (.profile,.login,.kshrc) Creación de un usuario, pasos a seguir: Asignar los identificadores: name, UID, GID. Asignarle una palabra de paso. Creación de su directorio de trabajo. Decidir su intérprete de comandos inicial. Establecer sus archivos de inicio de sesión. Hacer que sea propietario de su directorio inicial y archivos de inicio de sesión. Proporcionarles las utilidades necesarias. Activarle utilidades del sistema para el control de uso de recursos. Mantenimiento de los usuarios, tareas: Crear usuarios Modificar atributos Desactivar usuarios Eliminar usuarios Estas tareas se pueden realizar manual o automáticamente Manualmente: manipulando archivos (/etc/passwd) Autoámticamente: mediante utilidades (adduser, usermod) Creación de un usuario manualmente: 1º Editando y modificando el archivo dónde se declaran los usarios (/etc/passwd). 2º Editando y modificando el fichero de grupos de usuarios (/etc/group) si es necesario 3º Asignarle una palabra de paso (passwd) Creación de un usuario mediante utilidades: Interactivas (adduser) No interactivas (useradd) 2

3 Modificación de los atributos de un usuario manualmente: 1º Editando y modificando el archivo dónde se declaran los usuarios (/etc/passwd). 2º Editando y modificando el fichero de grupos de usuarios (/etc/group) si es necesario Modificación de los atributos de un usuario mediante utilidades: No interactivas (usermod) Organización lógica de usuarios: grupos de usuarios Qué es un grupo de usuarios? (desde el punto de vista del sistema) Ejemplos de grupos de usuarios: Grupo del administrador y al que pueden pertenecer ciertos usuarios (system). Grupo propietario de directorios especiales (daemon). Grupo al que pertenecen programas que pueden acceder a la memoria del núcleo (kmem o mem). Grupo propietario de los archivos especiales de terminales (tty). Grupo al que pertenecen ciertas utilidades o subsistemas ( , cron). Grupo al que pertenecen los usarios ordinarios por defecto (user, users). Desactivar un usuario manualmente: 1º Editando y modificando el archivo dónde se declaran los usuarios (/etc/passwd). Eliminación de un usuario del sistema manualmente: 1º Editando y modificando el archivo dónde se declaran los usarios (/etc/passwd). 2º Borrar todos sus archivos Eliminación de un usuario del sistema automáticamente (rmuser) Atributos que definen el perfil de un grupo: Nombre (group_name) Identificador numérico de grupo (GID) Nombres de los usuarios que forman el grupo Los grupos se declaran en un archivo (/etc/group) group_name:*:gid:lista de usuarios Tareas relacionadas con los grupos de usuarios Crear un grupo de usuario (groupadd) Listar los miembros que lo componen (groups) Modificar sus atributos (groupmod) Eliminar un grupo (groupdel) 3

4 Y SEGURIDAD DEL SISTEMA CONTENIDOS: 2. Integridad: seguridad física 2.1. Aspectos ambientales y políticos Requerimientos: dispositivos y utilidades comunmente empleadas Técnicas y políticas para el salvaguardado de la información.. Políticas para garantizar la integridad: Prevenir el vandalismo y el robo: el sistema y dispositivos físicos deben estar en lugares cerrados. El acceso debe ser controlado, esto es a estos lugares sólo deben acceder personas autorizadas: administradores y operadores del sistema. Garantizar que ningún usuario pueda desde su puesto de trabajo acceder a los dispositivos críticos de arranque o salvaguardado. Controlar los aspectos ambientales: Garantizar la higiene Reductores de humedad. Aparatos de aire acondicionado. Estabilizadores de corriente eléctrica. Fuentes de alimentación de corriente de respaldo. Garantizar la protección de las instalaciones básicas. Aspectos ambientales: Accesibilidad al sistema y a dispositivos críticos (consola, dispositivos de arranque y salvaguardado). Condiciones higiénicas. Condiciones de humedad. Temperatura ambiente. Condiciones eléctricas. Requerimientos: dispositivos físicos Cintas magnéticas Disquetes Discos removibles Discos Magneto-Ópticos Jukboxes Discos duros Sistemas Robotizados 4

5 Requerimientos: utilidades comúnmente empleadas: Comandos: tar, cpio, dd (unix) backup, restore (msdos) Utilidades especiales específicas del sistema operativo: fbackup (HP-UX) bru (IRIX) fsphoto (SCO) Técnicas y políticas para el salvaguardado de la información, conceptos previos: Salvaguardado total o completa (UNIX, WINDOWS) Salvaguardado incremental (UNIX) Salvaguardado progresivo (WINDOWS) Salvaguardado diferencial (WINDOWS) Niveles de salvaguardado (UNIX) Catálogo del salvaguardado: Nombre y tamaños de los archivos guardados Número total de archivos Tamaño de la copia Fecha de la copia Técnicas y políticas para el salvaguardado de la información, consideraciones previas: Qué archivos hay que salvaguardar. Con que frecuencia se actualizan los archivos. Conocer dónde se encuentran los archivos. Quién se responsabiliza del salvaguardado. Cuando, en donde y bajo qué condiciones se realiza. En caso de daño de la información, con qué rapidez ha de ser restaurada. En caso de daño de la información, dónde ha de hacerse la restauración. Técnicas y políticas para el salvaguardado de la información, ejemplos estrategias típicas: Ejemplo 1: lunes: copia total martes: copia incremental de nivel 1 miercoles: copia incremental de nivel 1 jueves: copia incremental de nivel 1 viernes: copia incremental de nivel 1 sábado: copia incremental de nivel 1 domingo: copia incremental de nivel 1 5

6 Técnicas y políticas para el salvaguardado de la información, ejemplos estrategias típicas: Ejemplo 2: Primer lunes del mes: copia total (nivel 0) Demás lunes del mes: copia incremental de nivel 1 martes: copia de nivel 2 con respecto a la previa de nivel 1 miercoles: copia de nivel 2 con respecto a la previa de nivel 1 jueves: copia de nivel 2 con respecto a la previa de nivel 1 viernes: copia de nivel 2 con respecto a la previa de nivel 1 sábado: copia de nivel 2 con respecto a la previa de nivel 1 domingo: copia nivel 2 con respecto a la previa de nivel 1 El problema de la seguridad lógica: Garantizar el acceso al sistema sólo a usuarios autorizados. Garantizar el acceso controlado a la información del sistema. Garantizar el buen uso de los recursos del sistema. Cualquier política de seguridad deberá contemplar: A quién se le permite usar las cuentas de usuarios. Disciplina a la hora de asignar las palabras de paso. Políticas de uso de los recursos del sistema. Cómo evitar/controlar el indebido de las cuentas y recursos del sistema. Procedimientos de monitorización del sistema. Y SEGURIDAD DEL SISTEMA CONTENIDOS: 3. Protección: seguridad lógica 3.1. El problema de la seguridad lógica Puntos débiles de los sistemas Recomendaciones para evitar a los intrusos Procedimientos para la detección de intrusos. Elementos básicos de un plan de seguridad: Política de acceso al sistema: clases de usuarios y requerimientos, privilegios de éstos y grupos de usuarios. Niveles adicionales de seguridad: caducidad de cuentas, palabras claves cambiantes aleatoriamente etc. Plan de monitorización: aspectos a controlar y periodicidad de las ejecuciones. Plan de auditoría: cada cuanto tiempo y que elementos del sistema se auditan. 6

7 Los puntos débiles del sistema: Usuarios sin palabra de paso Cuentas de usuarios no utilizadas Cuentas de usuario predeterminadas Cuentas de invitados Cuentas de acceso de comandos Cuentas de grupos Archivos ejecutables con los bits SUID y GID activados Amenazas de la ingeniería social Permisos de acceso a los archivos Conexiones con el exterior Recomendaciones (continuación): Minimizar los riegos del software libre: Probar el producto como usuario no privilegiado. Obtener los ejecutables a partir de la compilación del código fuente. Desempaquetar con cuidado el software: examinarlo y realizar esta acción en un área segura. Examinar el código fuente lo más posible. Examinar los archivos de construcción del código objeto y ejecutables (Makefile). Antes de proceder a la instalación, realizar una preinstalación. Probar el funcionamiento del software. Si se generan archivos con los bits SUID y GUID activos, comprobar que tengan los privilegios mínimos necesarios. Recomendaciones: Control de la cuentas de usuario. Control de las palabras de paso. Garantizar la protección adecuada de los archivos. Aumentar los niveles de seguridad mediante utilidades adicionales de autentificación. Limitar los sistemas que se pueden conectar. Registrar los intentos fallidos de entrada en el sistema. Limitar el acceso a los usuarios durante periodos de tiempo. Finalización automática de sesiones ociosas. Hacer uso de los grupos de usuarios (grupos efectivos). Evitar lo más posible los archivos ejecutables con SUID y GID activos. Procedimientos: Monitorizar los archivos: Comprobar propietarios y permisos de los archivos importantes de configuración del sistema. Comprobar propietarios y permisos de los directorios importantes del sistema. Verificar la integridad de archivos binarios del sistema. Verificar la presencia o ausencia de ciertos archivos. Verificar la integridad interna de los sistemas de archivos. 7

8 Procedimientos: Monitorizar la actividad del sistema: Procesos Intentos fallidos de entrada Intentos de entrada del superusario Tareas realizadas por el superusuario Lo hacen los usuarios Auditar los eventos importantes del sistema 8