Informe SO2 - Unidad v (Roa-Rodriguez)
-
Upload
jhonathan-rodriguez -
Category
Documents
-
view
17 -
download
4
description
Transcript of Informe SO2 - Unidad v (Roa-Rodriguez)
UNIDAD V
SEGURIDAD DE
ARCHIVOS,
IMPRESORAS,
RESPALDOS
SEGURIDAD DE ARCHIVOS
Linux es un sistema operativo multiusuario, lo que significa que podemos tener
más de un usuario trabajando al mismo tiempo desde sus diferentes estaciones de trabajo.
A raíz de esto, el sistema debe proteger a unos usuarios frente a otros y a sí mismo.
En Linux se adopta como norma básica de seguridad, asignarle a cada uno de los
usuarios, sólo los permisos mínimos y necesarios para que este pueda realizar su trabajo,
sin comprometer el de los demás y la integridad del sistema.
La información de una organización es uno de los bienes más valiosos.
La seguridad de redes se hace cada vez más importante a medida que las redes se
hacen más grandes y complejas.
Las amenazas a los recursos de una organización pueden provenir de fuentes tanto
internas como externas.
El robo y la destrucción de la información así como la denegación de acceso a los
recursos son preocupaciones reales para los usuarios y administradores del sistema.
COMPONENTES DE POLÍTICA DE SEGURIDAD
El objetivo de cualquier sistema de información es asegurar que la información sea
precisa y esté disponible donde y cuando se la necesita. Una política abarcadora de
seguridad de los sistemas de información puede ayudar en esto. En una política de
seguridad abarcadora deben interactuar una cantidad de componentes. Estos componentes
se muestran en la siguiente gráfica:
FUNCIONALIDADES DE SEGURIDAD ESTÁNDAR DE UNIX
Cuentas de seguridad
de usuario y Seguridad
de archivos
Usuario y
contraseña.
Permisos a archivos.
Control de acceso
remoto
Iptables.
VPNs.
SSH.
Telnet, ftp.
Herramientas de
verificación de
seguridad
Nmap.
Nessus.
Wireshark.
Kali.
PERMISOS DEL SISTEMA DE ARCHIVOS
Clases de permisos.
Usuario (Propietario).
Grupo.
Otros (Público).
Tipos de permisos.
PERMISOS POR DEFECTO
Cuando un usuario accede al sistema, los archivos y directorios están protegidos
por permisos por defecto.
Los permisos por defecto para un nuevo archivo son de lectura/escritura para el
usuario o propietario que creó el archivo, y de lectura para el grupo y otros.
Para los directorios, los permisos por defecto son de lectura/escritura/ejecución para
el usuario y de lectura/ejecución para el grupo y otros.
A través del comando ls -l, en Linux, podemos visualizar los permisos que por
defecto le asigna el sistema a los archivos (touch) y directorios (mkdir).
CAMBIO DE PERMISOS POR MEDIO DE LA LÍNEA DE
COMANDOS
El comando chmod es utilizado por el propietario de un archivo, o superusuario, para
cambiar los permisos de archivos.
El Modo Simbólico (relativo) utiliza combinaciones de letras y símbolos para
agregar o quitar permisos para categorías de usuarios seleccionadas.
El Modo Octal utiliza números octales para representar permisos de archivos y
se utiliza para configurar permisos para las tres categorías de usuarios. El modo
octal también se denomina modo absoluto o numérico.
CAMBIO DE PERMISOS POR MEDIO DE LA LÍNEA DE
COMANDOS
EL MODO SIMBÓLICO (RELATIVO).
chmod modo nombre_de_archivo
Who (Quién): Categoría de usuarios con la que está trabajando: u = usuario, g =
grupo, o = otros o a = todos
Op: Operador o lo que va a hacer: configurar (=), borrar (-), otorgar (+)
Permissions (Permisos): Permisos a ser asignados – r = lectura, w = escritura o x =
ejecución
chmod who op permissions nombre_de_archivo
El siguiente ejemplo quita (-) el permiso de lectura (r) del archivo dante para la
categoría de usuarios otros.
chmod o-r dante
chmod who op permissions nombre_de_archivo
El siguiente ejemplo agrega el permiso de escritura (w) al archivo dante para las
categorías de usuarios grupo (g) y otros (o).
chmod go+w dante
chmod ugo-rwx = chmod a-rwx
Permisos de lectura, escritura y ejecución para el usuario y de lectura y ejecución
para el grupo.
chmod u = rwx, g = rx dante
EL MODO OCTAL (ABSOLUTO)
chmod modo_octal nombre_de_archivo
o
chmod –R modo_octal nombre_de_archivo
Este modo también se denomina absoluto porque los permisos que aplica el usuario
reemplazarán explícitamente a los ya existentes.
Existen tres conjuntos de permisos, un conjunto para cada categoría de usuarios,
como usuario, grupo y otro.
Existen tres permisos posibles para cada conjunto como r, w, y x.
A cada conjunto de permisos para una categoría de usuarios puede asignársele un
valor numérico de 0 a 7, dependiendo de qué permisos se otorguen.
Asociando cada una de las tres posiciones de tipos de permisos r, w, x, con una
potencia de 2, cada uno puede representarse por medio de un número.
CAMBIO DE LOS PERMISOS POR DEFECTO POR MEDIO DE
UMASK
Los permisos por defecto automáticamente se aplican a los nuevos archivos con un
valor octal de 644 y a los directorios de 755.
La umask es la máscara de usuario usada para establecer los permisos a un archivo
o directorio.
Es un número en octal que controla qué permisos se enmascararán.
La manera fácil de calcular umask es tomar 666 (rw-rw-rw-) para los archivos, los
permisos máximos para un archivo no ejecutable, y 777 (rwxrwxrwx) para los
directorios, y sustraer el nuevo permiso deseado.
Se utiliza el comando umask para mostrar y configurar la umask:
umask (muestra la umask actual)
umask valor_de_umask (configura la umask)
Cuando creamos un fichero, el permiso inicial de éste será 644 (-rw-r--r--), valor
resultante de realizar la operación 666 - 022.
Al igual que cuando creamos un directorio, el permiso inicial será 755 (drwxr-xr-x),
resultado de 777 - 022.
umask realiza la diferencia a nivel de bits utilizando el operador AND.
EJEMPLO
666 = 110 110 110
022 = 000 010 010
Para hacer la diferencia.
Not 022= 111 101 101
Aplicar el operador AND
PROPIEDAD Y GRUPOS
Cuando un archivo o directorio es creado, el propietario o usuario se asigna
automáticamente. En Linux, sólo el superusuario o raíz (root) puede cambiar la propiedad
de un archivo o directorio. Este cambio se lo realiza con el comando chown. A
continuación se muestra la sintaxis del comando chown:
chown nuevo_propietario nombre_archivo o nombre_directorio
Más sobre los Grupos
Un usuario puede pertenecer a dos tipos de grupos:
El grupo principal.
Cada usuario debe pertenecer a un grupo principal. El grupo principal de un usuario
es determinado por el administrador del sistema en el momento en el cual se crea la cuenta
del usuario, y se almacena en el archivo passwd que se encuentra en la ruta /etc/password.
El grupo o grupos secundarios.
En Linux, cada usuario puede pertenecer también a entre 8 y 16 grupos secundarios.
Estos grupos se almacenan en el archivo groups dentro de la ruta /etc/groups. Sólo el
propietario puede abandonar la propiedad de un archivo. Cuando el usuario puede copiar
por el mismo el archivo, se convierte en propietario.
useradd –g staff –G Mgrs,Acctg User2
Si el usuario ya estaba creado
usermod -G lista_de_grupos User2
Cambio de propiedad de grupo.
chgrp nuevo_grupo nombre_de_archivo
El anterior organizador gráfico muestra cómo la membrecía a un grupo se asigna
cuando user2 hace logon. En el gráfico se visualiza que el archivo /etc/passwd se lee para
determinar el grupo principal o personal (staff). El archivo /etc/groups se lee para
determinar que el usuario es también un miembro de los grupos secundarios gerentes
(mgrs) y contabilidad (acctg). Como resultado de ello, user2 tendrá permisos para cualquier
archivo y directorio asignado a cualquiera de los tres grupos, principal o secundario.
IDENTIFICACIÓN DE USUARIOS POR MEDIO DE LOS
COMANDOS WHO Y FINGER
Dos comandos principales muestran quién está utilizando el sistema: who y finger.
El comando who muestra información acerca de todos los usuarios actualmente
loggeados al sistema local.
Identificación de usuarios por medio de los comandos who y finger
El comando finger muestra la misma información que el comando who.
El comando finger también brinda información más específica acerca del usuario
tal como el nombre completo del mismo a partir del archivo /etc/password, cuánto
tiempo desde que el usuario ha estado inactivo, el nombre del host, si se loggeó
remotamente y el último login.
finger User2
finger User2@ip_local o ip_remota
CAMBIO A LA CUENTA DE OTRO USUARIO
Un usuario puede cambiarse temporalmente a la cuenta de otro usuario para acceder
a archivos y directorios que pertenecen a ese usuario utilizando el comando su
(switch user - cambiar de usuario).
su nombre_de_usuario
Si el alumno está actualmente loggeado como root no es necesario el uso de una
contraseña.
Al cambiarse a la cuenta de otro usuario, el alumno se convierte en él y tiene todos
los accesos y privilegios que éste tiene.
Para volver a la ID de usuario anterior del alumno, tipee exit.
IDENTIFICACIÓN DE USUARIOS POR MEDIO DE LOS
COMANDOS WHO Y FINGER
El comando finger muestra la misma información que el comando who.
El comando finger también brinda información más específica acerca del usuario
tal como el nombre completo del mismo a partir del archivo /etc/password, cuánto
tiempo desde que el usuario ha estado inactivo, el nombre del host, si se loggeó
remotamente y el último login.