PDF de programación - ISecLab #13 - Hardening Básico de Linux - Permisos y Configuraciones

ISec Lab #13

Hardening básico de Linux
Permisos y Configuraciones



marzo de 2011

Ferran Pichel Llaquet

fpichel<arroba>isecauditors.com





Hardening Básico de Linux
Permisos y configuraciones

ISec Lab #13



Introducción

En esta ocasión nuestro IsecLab tratará sobre un aspecto muy importante a la hora de
administrar un servidor, su securización (ing: hardening). Cómo los sistemas operativos de la
familia *nix son los más usados y los que nos permiten una mayor configuración, el presente
artículo se referirá a dichos sistemas.

La configuración de un sistema operativo no es algo trivial y requiere un cuidado minucioso de
cada uno de los aspectos. Por esa razón se introducirán los aspectos más básicos como son
los permisos y configuraciones base.

En el presente texto se intentará dar una explicación detallada de como funcionan los permisos
y atributos de los ficheros y como configurarlos correctamente para evitar accesos inapropiados
a datos sensibles en el servidor. Asimismo, se hablará de aspectos relacionados con la
configuración, tanto del sistema como de posibles servicios que en el se alojen. Se intentara
enfocar el texto tanto para el acceso remoto como el local, ya que ambos aspectos son
sumamente importantes para el buen funcionamiento de éste.



marzo 2011



2/22

Hardening Básico de Linux
Permisos y configuraciones

ISec Lab #13



INTRODUCCIÓN........................................................................................................................... 2
1. PERMISOS.......................................................................................................................... 4
1.1. Permisos .................................................................................................................... 4
1.2. Modificación............................................................................................................... 5
1.3. Asignación coherente ................................................................................................ 7
2. CONFIGURACIONES.............................................................................................................. 11
2.1. Seguridad................................................................................................................. 11
2.1.1. Seguridad Física ............................................................................................................11
Limitando el acceso físico ..............................................................................................11
2.1.2.
2.1.3. Configurando el gestor de arranque...............................................................................11
2.2. Seguridad Local....................................................................................................... 12
2.2.1. Seguridad del sistema de ficheros .................................................................................12
2.2.2. Cambio periódico de contraseña....................................................................................13
2.2.3. Características de las contraseñas ................................................................................14
2.2.4. Controlando RunLevels ( rcX.d ) ....................................................................................14
2.2.5.
Inhabilitando Ctrl.+Alt+Del..............................................................................................15
2.2.6. Estableciendo los límites................................................................................................15
2.2.7. Opciones de montaje de las particiones.........................................................................17
2.2.8. Cron ...............................................................................................................................17
2.2.9. Generando Logs.............................................................................................................19
2.2.10. Rotación de Logs ...........................................................................................................20
2.2.11. Notificaciones de Logs ...................................................................................................21
3. CONCLUSIONES ................................................................................................................... 22



marzo 2011



3/22

 Ejecutar (ing: Execute).
 Leer (ing; Read).
 Escribir (ing: Write).


Cuando un usuario crea un fichero, el UID y GID propietarios de éste son los del propio
usuario, como es lógico. Pero tenemos más permisos que podemos configurar, de hecho si
hacemos “ls -l” veremos una cadena, al inicio de cada línea parecida a la siguiente:



Estos permisos nos indican que el usuario propietario del fichero tiene permisos de Lectura (R),
Escritura (W) y Ejecución (X), que no es un directorio y que los miembros del grupo y el resto
de usuarios del sistema no pueden hacerle nada.

Para interpretar correctamente esta cadena se debe entender que cada espacio corresponde a
un Bit de permisos, y estos al mismo tiempo se pueden agrupar en cuatro bloques:


-rwx------



Hardening Básico de Linux
Permisos y configuraciones

ISec Lab #13



1. PERMISOS

1.1. Permisos
Linux es un sistema multiusuario, lo que conlleva a mantener la privacidad de estos y un control
general para que no todos puedan hacer lo que quieran y comprometer así el sistema. En la
familia de operativos *nix se utilizan los permisos para ello, permitiendo o no realizar acciones
concretas al resto de usuarios no propietarios del fichero, o incluso al propio propietario.

Cada usuario tiene un identificador UID (User Identification) y un grupo identificativo GID
(Group Identification). Estos usuarios pueden realizar tres acciones distintas en un fichero:



Indica si es o no un directorio.

-
rwx Permisos para el propietario del
Fichero.
Permisos para los usuarios del grupo
del Fichero.
Permisos para el resto de los usuarios.

---

---



Bit 0: En caso de que el fichero sea un directorio nos aparecerá una “d”.

Los Bits de permisos tienen distinto comportamiento según se trate de un fichero o de un
directorio, a continuación se describen las diferencias:


Fichero

Bit
R
Lectura del fichero.
W Escritura del fichero.
X Ejecución del fichero.

Directorio

Lectura del contenido del directorio.
Mover y borrar ficheros en un directorio.
Poder acceder a un directorio.


Veamos a continuación un par de bits algo especiales.


marzo 2011



4/22





Hardening Básico de Linux
Permisos y configuraciones

ISec Lab #13


SUID (S)

El bit SUID es un flag especial que sirve para modificar temporalmente los privilegios del
usuario que ejecuta un programa. Si este bit se activa, el usuario que ejecute el fichero pasará
a tener los mismos privilegios que el propietario de este.

Imaginemos por un momento que el comando “/bin/ls” tiene este bit activo, lo cual es una
barbaridad. Ahora cualquier usuario que pueda ejecutar “/bin/ls”, es decir, prácticamente todos,
podrá ver el contenido de todos y cada uno de los directorios aunque no tenga permisos para
ello. ¿Por qué ocurre esto? Basta con mirar el propietario de dicho comando:


-rwsr-xr-x 1 root root 89632 2006-05-05 20:15 /bin/ls


Ahí se puede observar que el propietario es root, lo que significa que el “ls” no se ejecutará
como usuario, sino como root, indiferentemente de que usuario lo esté ejecutando. Además
vemos activado el bit SUID representado por la letra “s”, que se encuentra en el lugar de “x”,
simplemente porque esta directamente relacionado.

Este bit se puede asignar para que al ejecutar la aplicación se cambie el usuario, el grupo o
ambas características del usuario que ejecuta.

STICKY BIT (T)

El sticky bit es un flag adicional que actualmente no tiene función alguna en los ficheros, pero
en cambio si la tiene cuando se trata de directorios. Se representa con la letra “T”.

Si este bit se encuentra activo en un directorio, los ficheros del directorio pueden ser borrados o
renombrados únicamente por el propietario del directorio o por el propietario del fichero, lo cual
puede ser de gran ayuda cuando hablamos de directorios donde se encuentran ficheros
sensibles del sistema u otra información necesaria para el buen funcionamiento de éste.

Veamos ahora como modificar estas características cómodamente.


1.2. Modificación
Después de esta ojeada rápida a los permisos veamos como modificarlos de una manera
cómoda e intuitiva. Como el bit 0 nos indica si se trata o no de un directorio, no podemos
modificarlo, sino que es asignado en el momento de crear el fichero/directorio.

Como ya se ha dicho, cuando un fichero es creado se le asigna el propietario (ing: owner) y el
grupo de ese usuario. Estos valores pueden ser cambiados utilizando el comando “chown”
(Change Owner). La sintaxis básica se muestra a continuación:


chown <usuario>:<grupo> fichero


De esta manera conseguimos que el fichero pertenezca ahora a <usuario> y al grupo <grupo>.
Si uno de los dos campos no se especifica, queda sin cambiar. Obviamente este comando
debe ser ejecutado por el anterior propietario del fichero.


marzo 2011



5/22





Hardening Básico de Linux
Permisos y configuraciones

ISec Lab #13



Veamos ahora que ocurre con los bits de permisos. Tenemos tres bloques con tres bits cada
uno: “rwx”. Para modificarlos debemos usar el comando “chmod” (Change