PDF de programación - Asegurando Linux

Imágen de pdf Asegurando Linux

Asegurando Linuxgráfica de visualizaciones

Publicado el 28 de Julio del 2020
177 visualizaciones desde el 28 de Julio del 2020
238,8 KB
44 paginas
Creado hace 64d (20/07/2020)
Asegurando Linux

20 de julio de 2020

Índice

1 Asegurar contraseñas

1.1 Contraseñas ocultas . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Módulos de autenticación enchufables (PAM) . . . . . . . . . . .

2 Protección de ficheros y directorios

2.1 Ver propiedades y permisos . . . . . . . . . . . . . . . . . . . . .
2.2 Cambio de propiedad de ficheros . . . . . . . . . . . . . . . . . .
2.3 Cambiar permisos de fichero . . . . . . . . . . . . . . . . . . . .
2.4 Establecer permiso predeterminado . . . . . . . . . . . . . . . .
2.5 Comprobando el permiso de establecer ID de usuario . . . . .

1
2
4

5
5
6
6
7
9

3 Cifrar y firmar ficheros con GnuPG

11
3.1 Comprender el cifrado de clave pública . . . . . . . . . . . . . . 11
3.2 Comprender las firmas digitales . . . . . . . . . . . . . . . . . . 12
3.3 Usando GPG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.3.1 Generando el par de claves . . . . . . . . . . . . . . . . . 14
3.3.2 Intercambio de llaves . . . . . . . . . . . . . . . . . . . . . 16
3.3.3 Firmando un fichero . . . . . . . . . . . . . . . . . . . . . . 18
3.3.4 Cifrar y descifrar documentos . . . . . . . . . . . . . . . . 19

4 Sistema de Monitoreo de Seguridad

20

5 Asegurando los servicios de Internet

21
5.1 Desactivar servicios independientes . . . . . . . . . . . . . . . . 21
5.2 Configurar el súper-servidor de Internet . . . . . . . . . . . . . . 22
5.3 Configurar la seguridad del contenedor TCP . . . . . . . . . . . 23

6 Uso de Secure Shell para inicios de sesión remotos

24

7 Configuración de cortafuegos simples

28
7.1 Usando NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
7.2 Habilitar el filtrado de paquetes en su sistema Linux . . . . . . 34

7.2.1 Usando la herramienta de configuración de nivel de se-

guridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
7.2.2 Usando el comando iptables . . . . . . . . . . . . . . . . . 36

I

8 Los ficheros de seguridad que debe conocer

40

II

Para asegurar su sistema Linux, debe prestar atención tanto a la seguridad
del host como a la seguridad de la red. La distinción entre los dos tipos de
seguridad es algo arbitraria, porque asegurar la red implica asegurar las
aplicaciones en el host que se relacionan con los servicios de Internet que
ofrece su sistema.

Este texto primero examina la seguridad del host y luego explica cómo
puede proteger los servicios de red (principalmente al no ofrecer servicios
innecesarios), cómo puede usar un firewall para evitar que los paquetes
de red no deseados lleguen a su red y cómo usar Secure Shell (SSH) para
asegurar inicios de sesión remotos.

Host es el término técnico para su sistema Linux, especialmente cuando lo
usa para proporcionar servicios en una red. Pero el término tiene sentido
incluso cuando piensas en la computadora por sí misma como el host de
todo lo que se ejecuta en ella: el sistema operativo y todas las aplicaciones.
Un aspecto clave de la seguridad informática es asegurar el host.

1. Asegurar contraseñas

Históricamente, las contraseñas de Unix se almacenan en el fichero /etc/passwd,
que cualquier usuario puede leer. Una entrada típica de fichero /etc/passwd
para el usuario raíz se ve así:

root:t6Z7NWDK1K8sU:0:0:root:/root:/bin/bash

Los campos están separados por dos puntos (:), y el segundo campo con-
tiene la contraseña en forma cifrada. Para verificar si una contraseña es
válida, el programa de inicio de sesión cifra la contraseña de texto sin for-
mato que ingresa el usuario y compara la contraseña con el contenido del
fichero /etc/passwd. Si las contraseñas coinciden, el usuario puede iniciar
sesión.

Los programas para descifrar contraseñas funcionan igual que el progra-
ma de inicio de sesión, excepto que estos programas eligen una palabra

1

a la vez de un diccionario, cifran la palabra y comparan la palabra cifrada
con las contraseñas cifradas en el fichero /etc/passwd para una coinci-
dencia. Para descifrar las contraseñas, el intruso necesita acceso al fichero
/etc/passwd o una copia del mismo. A menudo, los crackers usan las debi-
lidades de varios servidores de Internet (como correo y FTP) para obtener
una copia del fichero /etc/passwd.

También existen copias de los ficheros en los medios de copia de seguridad,
así que asegúrese de almacenar los medios de forma segura, lejos de ojos
no autorizados.

Con los años, las contraseñas se han vuelto más seguras en Linux debido
a varias mejoras, incluidas las contraseñas ocultas y los módulos de au-
tenticación conectables (PAM, descritos en las siguientes dos secciones).
Puede instalar contraseñas ocultas o un PAM fácilmente mientras instala
Linux. Durante la instalación de Linux, normalmente tiene la oportunidad
de configurar la autenticación. Si habilita la seguridad MD5 y habilita las
contraseñas ocultas, automáticamente habilitará contraseñas más segu-
ras dentro de Linux y hace que sea mucho más difícil para los crackers
determinar los valores almacenados.

1.1. Contraseñas ocultas

Obviamente, dejar las contraseñas por ahí donde cualquiera pueda acce-
der a ellas, incluso si las contraseñas están encriptadas, es una mala segu-
ridad. En lugar de almacenar contraseñas en el fichero /etc/passwd (que
cualquier usuario capaz de acceder al sistema puede leer), Linux ahora las
almacena en un fichero de contraseña oculta, /etc/shadow. Solo el super-
usuario (root) puede leer este fichero. Aquí está la entrada para root en el
nuevo fichero /etc/passwd:

root:x:0:0:root:/root:/bin/bash

En este caso, el segundo campo contiene x en lugar de una contraseña
cifrada. La x es la contraseña oculta. La contraseña cifrada real ahora se
almacena en el fichero /etc/shadow, donde la entrada para root es así:

2

root:$1$AAAni/yN$uESHbzUpy9Cgfoo1Bf0tS0:11077:0:99999:7:
-1:-1:134540356

El formato de las entradas /etc/shadow con campos separados por dos
puntos se asemeja a las entradas en el fichero /etc/passwd, pero los signi-
ficados de la mayoría de los campos difieren. El primer campo sigue siendo
el nombre de usuario, y el segundo es la contraseña cifrada.

Los campos restantes en cada control de entrada /etc/shadow cuando ca-
duca la contraseña. No tiene que interpretar o cambiar estas entradas en
el fichero /etc/shadow. En su lugar, use el comando chage para cambiar la
información de caducidad de la contraseña. Para empezar, puede verificar
la información de caducidad de la contraseña de un usuario utilizando el
comando chage con la opción -l, de la siguiente manera (mientras está
conectado como root):

chage -l root

Este comando muestra información de caducidad, incluido cuánto tiempo
dura la contraseña y con qué frecuencia puede cambiarla.

Si desea asegurarse de que el usuario se ve obligado a cambiar una con-
traseña a intervalos regulares, puede usar la opción -M para establecer el
número máximo de días que una contraseña permanece válida. Para ase-
gurarse de que se le solicite al usuario kdulaney que cambie la contraseña
en 90 días, por ejemplo, inicie sesión como root y escriba el siguiente co-
mando:

chage -M 90 kdulaney

Puede usar el comando para cada cuenta de usuario para asegurarse de
que todas las contraseñas caduquen cuando sea apropiado y que todos los
usuarios elijan nuevas contraseñas.

3

1.2. Módulos de autenticación enchufables (PAM)

Además de mejorar la seguridad del fichero de contraseña mediante el uso
de contraseñas ocultas, Linux mejora el cifrado de las contraseñas alma-
cenadas en el fichero /etc/shadow mediante el algoritmo de resumen de
mensajes MD5 descrito en RFC 1321 (www.ietf.org/rfc/rfc1321.TXT). MD5 re-
duce un mensaje de cualquier longitud a un resumen de mensaje de 128
bits (o huella digital) de un documento para que pueda firmarlo digitalmen-
te cifrándolo con su clave privada. MD5 también funciona bastante bien para
el cifrado de contraseña.

Otra ventaja de MD5 sobre el cifrado de contraseñas de estilo antiguo es
que, mientras que las contraseñas antiguas se limitaban a un máximo de
ocho caracteres, las nuevas contraseñas cifradas con MD5 pueden ser mu-
cho más largas. Las contraseñas más largas son más difíciles de adivinar,
incluso si el fichero /etc/shadow cae en las manos equivocadas.

Puede decir que el cifrado MD5 está vigente en el fichero /etc/shadow. Las
contraseñas cifradas son más largas y todas tienen el prefijo $1$, como en
el segundo campo de la siguiente entrada de muestra:

root:$1$AAAni/yN$uESHbzUpy9Cgfoo1Bf0tS0:11077:0:99999:7:
-1:-1:134540356

Un módulo de programa adicional llamado módulo de autenticación enchu-
fable (PAM) realiza el cifrado MD5. Los PAM de Linux proporcionan un método
flexible para autenticar a los usuarios. Al configurar los ficheros de configu-
ración de PAM, puede cambiar su método de autenticación sobre la marcha
sin modificar programas vitales que verifican la identidad de un usuario
(como login y passwd).

Linux usa las capacidades de PAM ampliamente. Los PAM residen en muchos
módulos; sus ficheros de configuración están en el directorio /etc/pam.d
de su sistema. Consulte el contenido de este directorio en su sistema es-
cribiendo el siguiente comando:

4

ls /etc/pam.d

Cada fichero de configuración en este directorio especifica cómo se auten-
tica a los usuarios para una utilidad específica.

2. Protección de ficheros y directorios

Un aspecto importante de asegurar el host es proteger los ficheros impor-
tantes del sistema y los directorios que contienen estos ficheros. Puede
proteger los ficheros mediante la propiedad del fichero y la configuración
de permisos que controlan quién puede leer, escribir o (en el caso de los
programas ejecutables) ejecutar el fichero.

La seguridad predeterminada de los ficheros de Linux se controla mediante
la siguiente configuración para cada fichero o directorio:

Propiedad del usuario

Propiedad del grupo

Leer, escribir, ejecutar permisos para el propietario

Leer, escribir, ejecutar permisos para el grupo

Leer, escribir, ejecutar permisos para otros (todos los demás)

2.1. Ver propiedades y permisos
  • Links de descarga
http://lwp-l.com/pdf17965

Comentarios de: Asegurando Linux (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad