Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Linux
Linux
de contenido
UNIDAD 1 RENDIMIENTO Y SEGURIDAD DEL SISTEMA..............................................................5
Los recursos del sistema como servicios...............................................................................................6
La seguridad como principio.................................................................................................................6
La seguridad en la practica....................................................................................................................6
Política de seguridad : Las personas, Los sistemas...............................................................................7
Estrategias de respuesta.........................................................................................................................7
Fallos y brechas de seguridad................................................................................................................7
Método de análisis de fallos..................................................................................................................8
Analizar fallos: hipótesis, recopilar información...................................................................................8
Los beneficios de monitoreo de los sistemas.........................................................................................8
Herramientas para monitoreo de la red..................................................................................................8
La red, visión local, visión remota.........................................................................................................9
Analizar los sistemas de ficheros...........................................................................................................9
Permisos problemáticos.........................................................................................................................9
Monitoreo de procesos.........................................................................................................................10
Herramientas para el monitoreo de procesos.......................................................................................10
Generar informes de la actividad del sistema......................................................................................10
Administrar procesos de usuarios........................................................................................................11
Ficheros de log del sistema..................................................................................................................11
Configurar syslogd y klog...................................................................................................................11
Analizar ficheros de log.......................................................................................................................11
UNIDAD 2 ADMINISTRACIÓN DE CUENTAS DE USUARIOS......................................................12
Cuentas de usuarios, información de cuentas......................................................................................13
Cambio de servicio de nombre (NSS), getent.....................................................................................13
Pluggable Authentication Modules (PAM), funcionamiento de PAM................................................14
Ficheros /etc/pam.d/: comprobaciones y valores de control................................................................14
El fichero systemauth.........................................................................................................................15
pam_unix.so.........................................................................................................................................15
Autentificación a través de la red........................................................................................................16
Módulos auth.......................................................................................................................................16
Seguridad de las contraseñas, políticas de gestión de contraseñas......................................................16
Módulos sesión, Utilidades de autentificación....................................................................................17
UNIDAD 3 CONTROLAR EL ACCESO A LOS SERVICIOS DEL SISTEMA.................................18
Recursos del sistema gestionados por init...........................................................................................19
Administrar los scripts de inicio de los servicios................................................................................19
La seguridad en la practica
● Por diseño, el sistema sirve recursos disponibles
● Por política, el sistema conserva los recursos disponibles
● El servidor/Host solo sirve lo que debe, y solo a quienes debe
"¿Es necesario o conocer del host esto?"
"¿Que necesitamos o conocemos del este acceso?"
"¿Esto coincide con los registros de comportamiento anteriores del sistema?"
"¿He aplicado todas las actualizaciones de seguridad pertinentes?"
● Monitoreo de recursos del sistema en busca de vulnerabilidades y bajo rendimiento
Estrategias de respuesta
● Asumir la sospecha que el sistema es poco fiable
No ejecutar programas desde el sistema bajo sospecha
Arranque desde medios confiables para verificar intrusiones
Analice los registros del logger remoto y los registros "locales"
Verificar la integridad de los archivos contra un respaldo de la base de datos rpm en
modo solo lectura
● Hacer una imagen de la maquina además, para posterior análisis/recolección-de-evidencia
● Limpie la maquina, reinstalar y restaurar una copia de seguridad
Permisos problemáticos
● Archivos sin propietarios conocidos pueden indicar acceso no autorizado:
Ubica archivos y directorios con ninguna entrada de usuario o grupo en archivo /etc/passwd:
find / \( -nouser -o -nogroup \)
Monitoreo de procesos
● Monitor de procesos para determinar:
Una disminución del rendimiento o si se ejecutan procesos sospechosos
● Utilidades de seguimiento
top
gnome-system-monitor
sar
El fichero system-auth
● system-auth es ampliamente usado
Llamado por la bandera de control include, no un modulo(ej: pam_stack.so)
Contiene pruebas de autentificación estándar
Compartida por muchas aplicaciones en el sistema
Permite una fácil, consistente administración del sistema estándar de autentificación
pam_unix.so
● Modulo para autentificación basada en NSS
auth obtener hashed de contraseña NSS y compara con hash de contraseña entrada
account verifica por espiración de contraseña
password maneja cambios de contraseña en archivos locales o NIS
session registra inicio y termino de sesión en archivos de registros
Módulos de sesión
● pam_limits.so Cumplir limites de recursos
Utilizar /etc/security/limits.conf
● pam_console.so Define permisos en dispositivos locales para consola de usuarios
Puede ser usado como un modulo de autentificación también
● pam_selinux.so Ayuda a definir contexto SELinux
● pam_mkhomedir.so crea un directorio “home” si este no existe
Utilitarios y Autentificación
● Herramientas de administración local necesita autentificación
su, reboot, system-config-*, etc.
● pam_rootok.so pasa si se ejecuta como root
● pam_timestamp.so para un comportamiento como sudo
● pam_xauth.so reenvía cookies de autentificación
Análisis y resolución de problemas con PAM
● Verificar el sistema de registros en:
/var/log/messages /var/log/secure
● Errores de PAM pueden bloquear al usuario root
Mantenga una shell root abierta cuando pruebe PAM, modo mono usuario pasa por alto PAM
Iniciar el sistema usando un disco de rescate
tcp_wrappers y IPv6
● tcp_wrappers es (consiente) IPv6
Cuando IPv6 se aplica completamente al dominio, asegúrese de incluir reglas tcp_wrappers
para direcciones Ipv6
● Ejemplo: preservando la conectividad de maquina local, agregar a /etc/hosts.allow
ALL: [::1]
Nuevas y modificadas utilidades
● ping6
● traceroute6
● tracepath6
● ip -6
● host -t AAAA hostname6.domain6
Ejemplos SNAT
● MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
● SNAT
iptables -t nat -A POSTROUTING -j SNAT --to-source 1.2.3.45
Persistencia de reglas
● iptables no es un demonio, pero lee reglas en la memoria y sale
● Las reglas no son persistentes a través del reinicio
El servicio iptables almacenara las reglas si se ordena en /etc/sysconfig/iptables
(¡Asegúrese de que este archivo tiene el contexto SELinux correcto!)
Gestión System V puede ser utilizado, y es ejecutado antes que la red es configurada
Ejemplo de /etc/sysconfig/iptables
*filter
:INPUT DROP [573:46163]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [641:68532]
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp –dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 25 -s 123.123.123.1 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
-A INPUT -p udp -m udp –dport 53 -j ACCEPT
Ipv6 e ip6tables
● filtrado de paquetes para tráfico IPv6
● Proveído por el paquete iptables-ipv6
● Reglas se almacena en /etc/sysconfig/ip6tables
● No soporta todavía:
Objetivo REJECT
Tabla nat
Seguimiento de conexión con modulo state
Cifrado Simétrico
● Sobre la base de una sola clave
Utilizado al mismo tiempo para cifrar y descifrar
● Algoritmos comunes
DES, 3DES, Blowfish, RC2, RC4, RC5, IDEA, CAST5
● Utilidades comunes
passwd (DES modificada)
gpg (3DES, CAST5, Blowfish)
openssl
OpenSSH, Autentificación
● OpenSSH reemplaza comúnmente, aplicaciones de comunicación inseguras de red
● Proporciona usuario y de autentificación basada en token
● Capaz de hacer un túnel por protocolos inseguros a través de redireccionamiento de puertos
● Configuración por defecto del sistema (cliente y servidor) reside en /etc/ssh/
Administrando Llaves
● ssh-add -- collects key palabra_de_paso
● ssh-agent -- manages key palabra_de_paso
Aplicaciones: RPM
● Dos implementaciones de integridad de archivo
● Archivos Instalados
hash One-way MD5
rpm --verify nombre_paquete (o -V)
● Archivos de paquetes distribuidos
Firma de llave publica GPG
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-centos*
rpm --checksig nombre_archivo_de_paquete (o -K)
Algunos servicios de nombre proveen mecanismos para traducir nombre de maquina en direcciones
de capas-inferiores para que los computadores puedan comunicarse
Ejemplo: Nombre --> Dirección MAC (capa enlace)
Ejemplo: Nombre --> Dirección IP (capa red) --> Dirección MAC (capa enlace)
● Servicios comunes de nombre de maquina
Archivos (/etc/hosts y /etc/networks)
DNS
NIS
● Múltiples cliente para la resolución de nombres:
"stub"
dig
host
nslookup
Autoridad
● El registro SOA simplemente indica el servidor maestro para el origen (dominio)
● Un servidor tiene autoridad si se tiene:
Delegación del dominio principal: registro NS mas registro A
Una copia local de los datos del dominio, incluyendo el registro SOA
● Un servidor de nombre que tiene la delegación adecuada pero carece de datos del dominio
es llamado un servidor defectuoso (lame server)
Transferencia de dominios
● dig -t axfr example.com. @192.168.0.254
● Observaciones
Todos los registros para la zona son transferidos
Registros revelan mucho en el conocimiento de la red
Respuesta es demasiado grande para UDP, entonces para transferencia se usa TCP
● La mayoría de los servidores restringen la zona de transferencia a unas pocas maquinas
(usualmente los servidores de nombre esclavos)
● Utilice este comando desde un esclavo para probar los permisos en el maestro
Direcciones e interfaces
● Opción: listen-on port 53 { match-list; };
● Se enlaza named a una interface especifica
● Ejemplo: listen-on port 53 { myaddresses; };
listen-on-v6 port 53 { ::1; };
● Reiniciar y verificar: netstat -tulpn | grep named
● preguntas:
¿Qué pasa si listen-on no incluye 127.0.0.1?
¿Cómo podría el cambio listen-on-v6 a :: (todas las direcciones IPv6) afectar IPv4?
● Por defecto: Si listen-on falta, named escucha en todas las interfaces
● Atajos:
No empiece desde cero - copia un archivo de zona existente instalado por el paquete
caching-nameserver
Para guardar escribiendo, agregar $TTL 86400 en la primera linea de el archivo de
zona, entonces omita el TTL de los registros individuales
Utilidades NFS
● exportfs -v
● showmount -e hostname
● rpcinfo -p hostname
Clientes NFS
● Implementado como un modulo del núcleo
● /etc/fstab puede ser utilizado para especificar montajes de red
● Recursos compartidos con NFS son montados en el arranque por /etc/init.d/netfs
● autofs monta recursos compartidos con NFS bajo demanda y desmonta cuando está
inactivo
Hosts virtuales
NameVirtualHost 192.168.0.100:80
<VirtualHost 192.168.0.100:80>
ServerAdmin web@master.es
DocumentRoot /var/www/html/virt1
ServerName virt1.com
ServerAlias www.virt1.com
ErrorLog logs/virt1.error
CustomLog logs/acceso.virt1 common
</VirtualHost>
<VirtualHost 192.168.0.100:80>
ServerAdmin web@master.es
DocumentRoot /var/www/html/virt2
ServerName www.virt2.com
ServerAlias virt2.com
ErrorLog logs/virt2.error
CustomLog logs/acceso.virt2 common
</VirtualHost>
Cortafuegos y SMTP
● Capa de red con Netfilter inspección de estado
Entrante y saliente en puerto TCP 25
● Capa de aplicación para protección de retransmisión
MTA Interno para que los usuario conecten para enviar y recibir
Maquina inteligente saliente basado en DMZ que retransmite correo de el MTA interno
Concentrador correo entrante basado en DMZ que retransmite correo a el MTA interno
Reglas de filtrado dentro del MTA's DMZ o aplicaciones integradas(ej:Spamassassin)