SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
E-mail:
[email protected]
Pag. Web: http://fcbi.unillanos.edu.co/segurinfo.unillanos
User: 16***
Password: ******
Felipe Andrés Corredor. Esp. Msc.
Tel: (8)6616800 Ext. 124 Fax: (8)6616800 Ext. 141
[email protected]
[email protected]
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
06/10/11
TIBETS - Bucaramanga 3/11/11
Seguridad Sistemas Operativos
Administra los
recursos del
sistema
computacional.
H
S
U
Preve nció n
Detección
Corrección
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestión de Usuarios
Elemento de seguridad que mal administrado
puede convertirse en una vulnerabilidad.
Cuenta distinta de root para hacer la mayor parte
del trabajo.
Cada persona que utilice el sistema debe tener su
propia cuenta.
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestión de Usuarios
Creación de cuentas de usuario
Administración de cuentas de usuario
Perfiles de usuario
Configuración de recursos compartidos y permisos
Permisos para directorios y ficheros
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Usuario root
Superusuario.
UID es 0.
Privilegios sobre todo el sistema.
Acceso total a todos los archivos y directorios.
Administración de cuentas de usuarios.
Mantenimiento del sistema.
Puede detener el sistema.
Gestión de software.
Reconfigurar el kernel, controladores, ...
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Usuarios Especiales
Usuarios Normales
Ej.: bin, daemon, adm, lp, sync,
shutdown, mail, operator, squid,
apache, etc.
Cuentas del sistema.
Dependiendo de
asumen distintos privilegios.
No tienen contraseñas (nologin).
Se crean automáticamente al
momento de la instalación de
Linux o de la aplicación.
UID: 1 y 100 (->/etc/login.defs)
cuenta
la
usuario
Usuarios individuales.
Dispone de un directorio en
/home.
puede
Cada
personalizar su entorno de
trabajo.
Tienen
completos en su HOME.
Cuando se requiera hacer uso
de su.
UID superior a 500.
privilegios
solo
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestipón de Usuarios
Conceptos
Nombre de usuario
UID – Identificador de usuario
GID – Identificador de grupo
Contraseña
Nombre completo del usuario
Directorio inicial
Intérprete de inicio
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestipón de Usuarios
nombre:clave encriptada:UID:GID:nombre
completo:dir.inicio:interprete
Ejemplo:
fcorredor:Xv8Q981g71oKK:102:100:FelipeCorredor:/home/fcorr
edor:/bin/tcsh
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestipón de Usuarios
Archivos relacionados con las cuentas de usuario:
Archivos de administración y control de usuarios
.bash_logout
.bash_profile
.bashrc
/etc/group
/etc/gshadow
/etc/login.defs
/etc/passwd
/etc/shadow
Se ejecuta cuando el usuario abandona la sesión.
Se ejecuta cuando el usuario inicia la sesión.
Se ejecuta cuando el usuario inicia la sesión.
Usuarios y sus grupos.
Contraseñas cifradas de los grupos.
Variables que controlan los aspectos de la creación de
usuarios.
Usuarios del sistema.
Contraseñas encriptadas y control de fechas de usuarios del
sistema.
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestipón de Usuarios
Permisos
r w x
U
G
O
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestipón de Usuarios (grupos)
. ejemplo estudiantes, soporte y facultad
/etc/group
root:*:0:
usuarios:*:100:fcorredor,mrojas
invitados:*:200:
otros:*:250:ldiaz
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestipón de Usuarios
USERADD
-c comment
-d home dir
-e expire date
-g initial group
-G group,[...] -> separarse utilizando una coma y sin espacios
-m
-s shell -> SH, BASH
-u uid 0 y 99 son reservados para las cuentas de los servicios del
sistema.
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestipón de Usuarios
. Operaciones:
useradd <username>
passwd <username>
userdel -r <username>
usermod –c –d –e –g –G –s –u <username>
groupadd -r grupo-que-sea
groupdel grupo-que-sea
gpasswd -a usuario-que-sea grupo-que-sea (DEBEN EXISTIR)
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Gestipón de Usuarios
adduser
chage
id
gpasswd
groupadd
groupdel
groupmod
groups
pwconv
pwunconv
useradd
userdel
usermod
Comandos de administración y control de usuarios
Ver useradd
Permite cambiar o establecer parámetros de las fechas de control de la
contraseña.
Muestra la identidad del usuario (UID) y los grupos a los que pertence.
Administra las contraseñas de grupos (/etc/group y /etc/gshadow).
Añade grupos al sistema (/etc/group).
Elimina grupos del sistema.
Modifica grupos del sistema.
Muestra los grupos a los que pertence el usuario.
Establece la protección shadow (/etc/shadow) al archivo /etc/passwd.
Elimina la protección shadow (/etc/shadow) al archivo /etc/passwd.
Añade usuarios al sistema (/etc/passwd).
Elimina usuarios del sistema.
Modifica usuarios.
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Antes y Durante la Instalación
Escoger una contraseña BIOS
Cambie la secuencia de boot para impedirlo desde dispositivos
por los que no se debería entrar.
Inhabilitar ingreso sin contraseña es mejor. /etc/login.defs
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Esquema de Partición
Cualquier jerarquía de directorios, en la cual un usuario tiene
permiso de escritura, así como /home y /tmp,debería estar en una
partición separada. -> riesgo de un DoS por parte de un usuario,
al llenar su punto de montaje de "/".
Cualquier partición que pueda variar, ej. /var, también debería
estar en una partición separada. -> los paquetes bajados (el apt
cache) son guardados en /var/cache/apt/archives. SMTP ->
(/var/mail y/o /var/spool/mail).
Cualquier partición donde se quiera instalar un software fuera de
la distribución, debe estar en una partición separada.
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Esquema de Partición
PUNTO DE
MONTAJE
SIST. ARCHIVOS
DESCRIPCION
/
/boot
/home
/var
/usr - /usr/local
ext3
ext3
ext3
ext3
ext3
Raiz
Inicio y kernel
Directorios/user
Logs y misc
Softw de usuarios
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
No conectar a LA RED!
El sistema que se va a instalar no debe estar conectado a
Internet inmediatamente, durante la instalación.
También verificar si algún servicio
tiene nuevas
vulnerabilidades de seguridad no arreglados en los paquetes
que se están usando para la instalación.
Si el sistema va a ser conectado directamente a Internet (y
sin firewall o un NAT), instalar sin conexión a Internet usando
un espejo de paquetes locales desde fuentes de los paquetes de
Debian y de los datos de actualización de seguridad.
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Correr el Mínimo Número de Servicios
Requeridos
Los servicios son algunas veces vulnerables y por lo tanto
son un riesgo de seguridad .
No se debe instalar servicios innecesarios. Todo servicio
instalado, puede crear fallas de seguridad.
Configure los runlevels -> /etc/rc?.d/*
NFS , RPC, AMANDA,EXIM…
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Deshabilitar los servicios inetd
Más servicios innecesarios en su sistema -> echo, chargen, discard,
daytime, time, talk, ntalk y r-services (rsh, rlogin y rcp) ALTAMENTE
inseguros. Después de inhabilitarlos, debe revisarse si realmente se
necesita el demonio inetd, xinetd o rlinetd.
Inhabilitar directamente los servicios por la edición de
/etc/inetd.conf.
/usr/sbin/update-inetd --disable telnet
Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.
Felipe Andrés Corredor. Msc.
[email protected]
Lista de Seguridad de Debian
Revisar Listas de correo de los anuncios de seguridad de Debian,:
[email protected], -> participar en discusiones acerca
de aspectos relacionados con la Seguridad de Debian.
Alertas importantes de la seguridad de update. Envíe un e-mail a
[email protected] con la palabra
'suscribir' en el "subject". También suscribirse a lista e-mail moderada
en la pagina Web http://www.debian.org/MailingLists/subscribe
Estas listas de correo tienen un muy bajo volumen, y al suscribirse a
esta, será inmediatamente alertado de los asuntos de seguridad de la
distribución Debian. Esto le permite rápidamente cargar nuevos
paquetes con correcciones en la segurida
Comentarios de: Seguridad Informática (0)
No hay comentarios