Tema 4.3. Notas sobre seguridad lógica

Documentos relacionados
ASO. Usuarios y protección en RedHat Linux 1

USUARIOS Y SEGURIDAD DEL SISTEMA. CONTENIDOS: 1. Usuario y grupos 2. Integridad: seguridad física 3. Protección: seguridad lógica

USUARIOS Y SEGURIDAD DEL SISTEMA USUARIOS USUARIOS

SEGURIDAD EN SISTEMAS OPERATIVOS

GUIA RAIDS Y ACL. ACTIVIDAD DE APRENDIZAJE 1: Creación RAID

Sistema Operativo Linux

Administración de Linux

Comparación Windows - Linux: El Sistema de Archivos en Linux organiza los ficheros en carpetas con una estructura jerárquica similar a Windows.

Linux Básico + Avanzado

How to 5 Creación de usuarios y grupos

POLITICAS DE DIRECTIVA DE CUENTAS EN WINDOWS BACKTRACK

Gestión de usuarios en Linux

Cómo se puede poner en riesgo el correcto funcionamiento del sistema?

El usuario root. Departamento de Sistemas Telemáticos y Computación (GSyC) gsyc-profes (arroba) gsyc.es. Febrero de 2012

CREACION DE USUARIO, GRUPOS Y POLITICAS

Gestió n de ACLs en redhat. Redhat para todos. Breve manual de configuración de ACLs en redhat

SEGURIDAD SEGURIDAD LÓGICA. Santiago Candela Solá Universidad de Las Palmas de Gran Canaria

ADMINISTRACIÓN DE USUARIOS EN LINUX

ADMINISTRACIÓN DE USUARIOS EN LINUX

Aquí le damos a directiva de cuenta > directiva de contraseñas, vamos a dejar las directivas de seguridad igual que las vemos en la imagen.

POLÍTICAS Y PRÁCTICAS DE SEGURIDAD DE REDES Y SISTEMAS EN LAS ORGANIZACIONES

En la primera parte de este curso el alumno aprende a manejar los dos entornos de

Comandos Básicos Jornadas Octubre 2009 GUL UC3M Tania Pérez

HERRAMIENTAS PREVENTIVAS

GUIA DE CREACIÓN Y CONFIGURACIÓN DE USUARIOS LOCALES LINUX-SUSE

Comandos Básicos Jornadas Marzo 2009 Universidad Carlos III de Madrid Tania Pérez Asensio

TEMA 1. IMPLANTACIÓN DE SISTEMAS OPERATIVOS MODO ESCRITORIO. 2 FPB INFORMÁTICA DE OFICINA IES NUM. 3 LA VILA JOIOSA

HERRAMIENTAS PREVENTIVAS MARÍA ÁNGELES PEÑASCO SÁNCHEZ- 2º ASIR-TEMA 2-SAD

1. Por qué decimos que "Linux" es solamente el kernel del sistema operativo que utilizamos?

ADMINISTRACIÓN DE USUARIOS Y GRUPOS

EXAMEN LINUX. 5. Para lograr la siguiente imagen de captura de una ejecución del comando who, se debe cumplir que se tenga abierto:

Curso avanzado de Linux

Sistemas operativos: una visión aplicada. Capítulo 9 Seguridad y Protección

Ramón Manjavacas Ortiz

CREACION DE USUARIOS & GRUPOS + CONCEDIENDO PERMISOS

Curso 1º SMR Módulo: SOM Actividades: sistema de archivos, usuarios, grupos, permisos

Usuarios y grupos ÍNDICE

Implantación de Webmin

UNIDAD DIDACTICA 5 GESTIÓN DE USUARIOS

How to #5: Creación de Usuarios, Grupos y Permisos

Aspectos de Seguridad Técnica en SAP

Seguridad Linux: Server Hacking

Manual de instalación de Desktop v.2.2.0

Sistema de Ficheros, Permisos de archivos y Propietarios de los Mismos. (ubuntu 10.10)

TEMA 2: Sistemas Operativos

Usuarios y grupos, permisos en Ubuntu.

TEMARIO Y CRONOGRAMA DE CLASES. Introducción a Linux. Entornos gráficos. Instalación. Uso de consola. Manejo de archivos.

TEMA 3 SEGURIDAD LOGICA. Realizado por : Mila Leal

User Administration de la habitación de la directiva de Cisco

Gestión de usuarios y grupos en Linux

Administración,examen,final,2014,

Sistemas Operativos

Política de Seguridad

PRÁCTICA 14 GESTIÓN DE USUARIOS EN LINUX Y WINDOWS

PRÁCTICA 01 GESTIÓN DE ARCHIVOS Y DE PERMISOS EN LINUX

Capítulo 3. SEGURIDAD LÓGICAL

Taller de Seguridad. Securizando un servidor. Daniel Marcos Martín GUL UC3M 04/03/2010

Seguridad 1/10 SEGURIDAD. - Requisitos aplicados a la seguridad de computadoras y redes

CAPÍTULO IV: GESTIÓN DE ARCHIVOS. 1. Introducción a la Gestión de Archivos 2. Organización y acceso a los ficheros 3. Directorios

Tema 2. Organización de un sistema operativo tipo Linux

Unidad 1: Introducción al entorno

LINUX fork() execv() wait() exit() kill signal pipe creat close open read write fstat Chmod getuid, setuid, getgid setgid

LABORATORIO DE AMPLIACIÓN DE SISTEMAS OPERATIVOS MINIX SOBRE VIRTUALBOX

INSTRUCTIVO DE APLICATIVO UCNC MOVIL. Versión Dirigido a: Administradores del Aplicativo: UCNC Móvil

Punto 1 Funcionamiento del Servicio FTP. Juan Luis Cano

Menú de Arranque en Windows VISTA

Sistemas Operativos. Práctica 1. Curso 2005/2006

I. INTRODUCCIÓN A LOS SISTEMAS TIPO UNIX

Cómo usar la función para cifrado de datos en el QNAP Turbo NAS

1. Antes de empezar. 2. Software de Administración de huella digital. 1.1 Para usuarios. 1.2 Parámetros y compatibilidades del sistema

SISTEMAS OPERATIVOS INTRODUCCIÓN. Pedro de Miguel Anasagast

Establecemos la topología que nos han dado y establecemos las IP que le corresponden a cada uno de los aparatos.

GNU/Linux Administración Básica

Como crear usuarios y grupos, añadirles permisos.

Windows PowerShell Administrar puestos cliente Windows

ACTIVIDAD 8 DIRECTIVAS DE GRUPOS LOCALES EN WINDOWS SERVER POR SEBASTIAN VALENCIA

Secure shell, también llamado ssh es un protocolo utilizado paro login y ejecución de procesos remotos.

SISTEMA MULTIUSUARIO

CARRERA DE CERTIFICACION LINUX REDHAT

MANUAL DE INSTALACION OPEN SUSE 10.2

Administración de usuarios

Programación 1 Grado de ingeniería Robótica

El Shell BASH. Intérprete de comandos

Criptografía y Seguridad de Datos Intrusos y virus

033 - IFC01CM15. ADMINISTRACIÓN AVANZADA EN LINUX Y VIRTUALIZACIÓN

Fundamentos de los Sistemas Operativos. Tema 1. Conceptos generales Estructura del sistema operativo ULPGC - José Miguel Santos Espino

Roaming Profile en Debian GNU/LINUX

Borra el fichero hola.txt -rf Borra el fichero/directorio sin pedir confiramación

Conexión segura al Laboratorio

SEGURIDAD DE UN SISTEMA LINUX. Práctica 3.2 SAD. Esta práctica versará sobre la implementación de parámetros de seguridad en sistemas GNU/Linux

66.69 CRIPTOGRAFÍA Y SEGURIDAD INFORMÁTICA

Seguridad Informática

TEMARIO ADMINISTRACIÓN DE SERVIDORES LINUX OPERATOR & SYSADMIN

Rawel E. Luciano B Sistema Operativo III. 5- Creación de Usuarios, Grupos y Permisos. José Doñe

Nombres de archivo. Sistemas Operativos III - ETB EMT - CETP

DISCOS Y SISTEMAS DE FICHEROS

DISCOS Y SISTEMAS DE FICHEROS

Transcripción:

Administración de Sistemas Operativos Tema 4.3. Notas sobre seguridad lógica 2016 José Miguel Santos

Contenidos Ámbitos y políticas de seguridad lógica La BIOS El cargador (ej. GRUB) Cuentas de usuarios y contraseñas Cuenta del administrador (root) Bits setuid/setgid Rutinas de monitorización y auditoría J.M. Santos 2

Objetivos Garantizar el acceso al sistema sólo a usuarios autorizados. Garantizar que los usuarios acceden solamente a la información y los recursos a los que tienen derecho. Un objetivo crucial es evitar los accesos indebidos (especialmente las intrusiones). J.M. Santos, A. Quesada, F. Santana, E. Rodríguez 3

Políticas de seguridad: ámbitos PERSONAS. Qué personas tienen derechos. RECURSOS. Sobre qué recursos tienen derechos (ficheros, procesos, espacio en disco, dispositivos de E/S ) IDENTIFICACIÓN. Cómo se sabe quién es la persona que trata de acceder a un recurso? PRIVILEGIOS. Qué tipos de operaciones están sujetas a restricciones? Cómo se implementan las restricciones? MONITORIZACIÓN. Cómo vigilamos sobre el terreno el cumplimiento de nuestras políticas? AUDITORÍA. Cómo revisamos periódicamente el estado del sistema y los posibles incidentes que hayan ocurrido en el pasado? 4

Plan de seguridad lógica Perfiles de acceso. Tipos de usuarios, grupos, privilegios, altas y bajas. Autenticación. Contraseñas: complejidad mínima, caducidad. Sistemas biométricos, certificados electrónicos. Uso de recursos. Permisos de acceso, cuotas de espacio y de tiempo, etc. Monitorización y auditoría. Qué recursos se vigilan, con qué periodicidad. 5

La BIOS BIOS = Basic Input/Output System Memoria regrabable con la rutina de arranque y la configuración básica del firmware. Riesgo: que el usuario arranque desde un dispositivo no convencional (ej. CD, puerto USB) J.M. Santos 6

La BIOS La BIOS permite prohibir dispositivos de arranque: USB, disco óptico, etc. También inhibir dispositivos de E/S que generan riesgo de intrusión, ej. puertos serie y paralelo. La configuración de la BIOS puede protegerse con contraseñas. Ojo: las contraseñas se pierden si se retiran las baterías de la placa base. Colocar un candado en la unidad central! J.M. Santos 7

El cargador del SO (GRUB) Riesgo: el usuario entra en modo edición y elige arrancar en modo single user, o desde una partición elegida por él. Solución: proteger con contraseña. # grub-md5-crypt Editar /boot/grub/grub.conf y colocar la contraseña: directiva password --md5 contrseña cifrada J.M. Santos 8

Contraseñas de usuarios Unix guarda las contraseñas cifradas en /etc/shadow. Algoritmo MD5 (bien). Riesgo: contraseñas débiles (adivinables con ataques de diccionario) Solución: requisitos de dificultad de contraseña mezclar letras, números y signos de puntuación prohibir palabras registradas en un diccionario prohibir palabras que estén en el perfil del usuario (ej. nombre, apellidos, teléfono, cumpleaños ) Se configura con PAM: pam_passwdqc J.M. Santos 9

Caducidad de contraseñas Riesgo: el usuario mantiene durante mucho tiempo la misma contraseña esto eleva la probabilidad de que alguien la descubra. Solución: caducidad forzosa de contraseñas (campos del /etc/shadow, chage...) J.M. Santos 10

Sesiones abiertas Riesgo: un usuario abandona su puesto y se deja una sesión abierta. Oportunidad de oro para un intruso. Soluciones: Finalización automática de sesiones ociosas Bloquear la terminal al cabo de un tiempo (y pedir contraseña para desbloquear) J.M. Santos 11

Cuentas zombis Riesgo: mantenemos cuentas antiguas que ya no se deberían usar. Alguien podría aprovecharlas para entrar como intruso. Solución: caducidad de cuentas (/etc/shadow) Solución: eliminar cuentas no necesarias J.M. Santos 12

Cuentas eliminadas Riesgo: si se elimina una cuenta de usuario y alguno de sus archivos permanece en el sistema, un nuevo usuario que adquiera el mismo UID del eliminado podría acceder a ese archivo viejo. Solución: buscar archivos sin propietario y eliminarlos (o cambiarles la propiedad) find / -nouser J.M. Santos 13

Cuenta del root Riesgo: el administrador entra alegremente como root para cualquier cosa. Aumentan los riesgos de intrusión (ej. con troyanos). Soluciones: Disciplina: sólo usar root cuando sea necesario Temporizador para la sesión de root Usar /etc/securetty para restringir las terminales desde las que se puede abrir sesión Usar /etc/ssh/sshd_config para restringir SSH En /etc/passwd poner como shell /sbin/nologin J.M. Santos 14

Programas «su» y «sudo» su abre un shell como root (u otro usuario) se puede limitar quién puede ejecutar su, si existe el grupo wheel. Sólo sus miembros pueden ejecutar su. Hay que tocar un módulo PAM. sudo orden ejecuta orden como root /etc/sudoers contiene la lista de usuarios autorizados a ejecutar sudo J.M. Santos 15

Permisos «setuid» y «setgid» Un proceso Unix maneja dos usuarios: UID real (RUID). El del usuario que lanzó el proceso. UID efectivo (EUID). El que realmente se utiliza para aplicar los permisos de acceso a los recursos. Normalmente RUID=EUID. Pero se puede cambiar el EUID si el fichero ejecutable tiene activado el bit SUID o «setuid»: Si un fichero F propiedad del usuario U tiene activado el bit SUID, cuando alguien ejecute F, el EUID del proceso será el del usuario U. J.M. Santos 16

setuid: ejemplo El programa passwd cambia la contraseña del usuario. Accede a /etc/shadow, que es un fichero que sólo root puede tocar. Si vemos los permisos de /usr/bin/passwd: -rwsr-xr-x 1 root root 32168 Aug 22 /usr/bin/passwd La s significa «setuid activado» Si un usuario ejecuta passwd, este proceso se ejecuta con el EUID del root!!! Por suerte, passwd es un programa que no hace cosas raras J.M. Santos 17

setgid Igual que existen el usuario real (RUID) y el usuario efectivo (EUID), también existen el grupo real (RGID), el grupo efectivo (EGID) y el permiso setgid. El significado es análogo al modelo setuid, pero aplicado a grupos. J.M. Santos 18

Manejar suid/sgid Activar/desactivar suid/sgid en un fichero: chmod u+s miprograma chmod g+s miprograma chmod 4755 miprograma (suid) chmod 2755 miprograma (sgid) Buscar ficheros suid/sgid: find /bin /usr/bin -perm -4000 (suid) find /bin -perm -2000 (sgid) J.M. Santos 19

Riesgos de setuid/setgid Riesgo: alguien consigue colocar un troyano con SUID (ej. una versión modificada de /usr/bin/passwd) Solución: Monitorizar qué programas SUID/SGID hay en el sistema, y si hay cambios respecto a los originales (ej. chequeando sumas MD5) J.M. Santos 20

Monitorización y auditoría Objetivo: detectar anomalías en la configuración del sistema, o indicios de posibles intrusiones Algunas rutinas: Comprobar propietarios y permisos de los archivos de configuración Comprobar propietarios y permisos de los directorios del sistema Verificar la integridad de los binarios del sistema (ej. confrontar con sumas MD5 de los originales) Verificar la presencia o ausencia de archivos importantes J.M. Santos 21

Rutinas de monitorización (ver Tema 6) Observar los registros de uso: Intentos fallidos de entrada en el sistema (lastb) Intentos de entradas como root.bash_history del root Lo mismo con los usuarios normales Registros del sistema en /var/log, sobre todo /var/log/secure J.M. Santos 22

Administración de Sistemas Operativos Tema 4.3. Notas sobre seguridad lógica 2016 José Miguel Santos

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback