 Competencia: Administrar hardware y software de seguridad en la red a partir de normas internacionales

 Resultados de Aprendizaje Alcanzar: Implementar el plan de seguridad en la organización aplicando estándares y normas
internacionales de seguridad vigentes.

NOTA: Estimado aprendiz cabe recordar que usted Interactuará en una interfaz de comandos en el servidor centOS 8 (Linux)
previamente instalado en una máquina virtual VMWARE o VIRTUALBOX.

ACTIVIDAD 2:
NOTA: Deberá presentar como evidencia de aprendizaje un informe de todo lo realizado explicando
lo ingresado en la interfaz de comandos para cada uno de los ítems del laboratorio práctico.

Qué son las ACL?

Una ACL específica a qué usuarios o procesos del sistema se les otorga acceso a los objetos, así como
qué operaciones se les permiten a los objetos dados. Cada entrada especifica un tema y una
operación.

Por ejemplo, si un objeto de fichero, tiene una ACL que contiene (David: leer, escribir; Ángela: leer),
esto le daría permiso a David para leer y modificar el archivo, en cambio Ángela solo podría leerlo.

¿Cómo funcionan?
Primero de todo hay que tener en cuenta que el sistema de archivos debe de tener habilitado las
ACL. Para ello se debe especificar cuándo se montan, bien de manera provisional o de manera
permanente en el fichero /etc/fstab

Para comprobar que la opción “acl” está habilitado en las particiones montadas, podemos realizar
la siguiente comprobación:

Ing. German Eduardo Homez Rodriguez

Instructor: Gestión Redes de Datos y Mto de Equipos de Cómputo.
Centro industrial y de desarrollo empresarial-CIDE
Soacha- Cundinamarca
2020
Como en el ejemplo:

Los sistemas de ficheros como Btrfs y ext* ya vienen con las ACL habilitadas por defecto.

Trabajando con ACL

Para trabajar con las Listas de Control de Acceso tenemos disponibles dos herramientas
fundamentales, que son:

 getfacl: Muestra información de los permisos de ficheros y carpetas

 setfacl: Modifica las ACL de dichos ficheros y carpetas

Para agregar permisos a un usuario

Si queremos agregar permisos a un grupo:

Permitir que todos los archivos o directorios hereden las entradas de ACL desde un directorio con:

Eliminar una entrada específica:

Borrar todas las entradas:

Para mostrar los permisos:

Setfacl: Principales usos

Veamos un resumen de los principales parámetros que podemos utilizar con la herramienta
“setfacl”

Modificar ACL de un archivo para el usuario con acceso de lectura y escritura:

Modificar la ACL predeterminada de un archivo para todos los usuarios:

Eliminar las reglas de un archivo para un usuario:

Eliminar todas las entradas de un archivo:

Ing. German Eduardo Homez Rodriguez
Instructor: Gestión Redes de Datos y Mto de Equipos de Cómputo.
Centro industrial y de desarrollo empresarial-CIDE
Soacha- Cundinamarca
2020
Este resumen lo puede obtener con la herramienta TLDR.

Laboratorio de pruebas

Tomemos el siguiente árbol de directorios para la empresa ficticia LibreCorp:

Existe un grupo creado llamado “librecorp”, con tres usuarios “david”, “Fernando” y “María”

Listar permisos ACL con getfacl

Si utilizamos “getfacl” vemos los permisos que tienen asignadas las diferentes carpetas:

Ing. German Eduardo Homez Rodriguez

Instructor: Gestión Redes de Datos y Mto de Equipos de Cómputo.
Centro industrial y de desarrollo empresarial-CIDE
Soacha- Cundinamarca
2020
Observamos que los usuarios del grupo “librecorp” pueden acceder a los recursos en modo lectura.
Además el usuario Fernando tiene los permisos de lectura declarados explícitamente. En el caso de
David, tiene permisos de lectura, escritura y ejecución sobre IT En lo que respecta a María tiene
todos los permisos sobre la carpeta Marketing.

Asignar permisos ACL a un nuevo usuario con setfacl

La empresa ha tenido una nueva incorporación en el departamento de Marketing, llamada Judith,

creamos el usuario y le asignamos al grupo. Además le daremos permiso de escritura sobre la
carpeta Marketing.

Si listamos los permisos del recurso Marketing:

Ing. German Eduardo Homez Rodriguez

Instructor: Gestión Redes de Datos y Mto de Equipos de Cómputo.
Centro industrial y de desarrollo empresarial-CIDE
Soacha- Cundinamarca
2020
A modo de ejemplo, utilizamos el usuario David para intentar escribir sobre los departamentos de
Marketing y de IT:

Como David no tiene permisos sobre el recurso Marketing, el sistema le muestra un mensaje de
“Acceso denegado”, en cambio puede crear sin problemas el fichero “prueba” dentro de la
carpeta de IT.

Eliminar permisos ACL

Nos comunican que María se marcha de la empresa, por lo que debemos eliminar los permisos
que tiene actualmente sobre la carpeta de Marketing, para realizar este paso, usaremos la
herramienta “setfacl”, junto con el parémetro “-x“, que se utiliza para tal fin.

De esta manera ya no tendrá permisos de escritura en el recurso. Por último la eliminamos del
grupo “librecorp”, utilizando la herramienta “gpasswd”

Copias de seguridad de las ACL y como restaurarlas

Hay que tener en cuenta que las Listas de Control de Acceso irán variando con el tiempo, por lo
que es recomendable realizar una copia de seguridad de estas. Para ello simplemente debemos
utilizar la salida standard “stdout” sobre un fichero.

Como sigue:

Y esto es todo. Las listas de control de acceso tienen un sin fin de posibilidades. Espero que este
documento haya sido un instrumento para afianzar su aprendizaje.

Webgrafia:
https://www.ochobitshacenunbyte.com/2019/02/07/listas-de-control-de-acceso-acl-en-linux/

Ing. German Eduardo Homez Rodriguez

Instructor: Gestión Redes de Datos y Mto de Equipos de Cómputo.
Centro industrial y de desarrollo empresarial-CIDE
Soacha- Cundinamarca
2020