seguridad basica
Páginas: 9 (2041 palabras)
Publicado: 7 de abril de 2013
Seguridad Básica de Linux
Sistemas de archivos
Una norma básica de seguridad radica en la asignación a cada usuario sólo de los
permisos necesarios para poder cubrir las necesidades de su trabajo sin poner en
riesgo el trabajo de los demás.
Riesgos
Dentro del sistema Linux todo son archivos: desde la memoria física del equipo hasta el ratón, pasando por módems, teclado, impresoras etc.Esta filosofía de diseño es uno de los factores que mas éxito y potencia proporciona a Linux , pero también uno de los que mas peligros, debido a que un simple error en un permiso puede permitir a un usuario modificar todo el disco duro, o leer
los datos tecleados desde una Terminal etc.
El sistema de archivos es la parte del núcleo (Kernel) mas visible por los usuarios; se encarga de abstraerpropiedades físicas de los diferentes dispositivos para
proporcionar una interfaz única de almacenamiento: el archivo.
Cada sistema Linux tiene su sistema de archivos nativo. (ejemplo ext3)
Un primer criterio para mantener un sistema seguro es una correcta distribución del
espacio de almacenamiento. Esto limita el riesgo de que el deterioro de
una partición afecte a todo el sistema. La pérdidase limitaría al contenido de esa
partición.
Tamaño de las particiones
No hay unas normas generales aplicables; el uso al que vaya destinado el sistema y la experiencia son las bases de la decisión adecuada, aunque por lo general se recomienda:
Si el sistema va a dar servicio a múltiples usuarios que requieren almacenamiento para sus datos es conveniente que el directorio /home tenga su propiapartición.
Si el equipo va a ser un servidor el directorio /var o incluso /var/spool deberían tener su propia partición.
Casi todas las actividades realizadas en un sistema Linux son susceptibles a ser monitorizadas: desde las horas de acceso de cada usuario al sistema hasta las
paginas web mas frecuentemente visitadas, pasando por los intentos fallidos de conexión, los programas ejecutados oincluso el tiempo de CPU que cada usuario consume.
Es evidente que esta facilidad para recolectar información tiene grandes ventajas para la
seguridad.
Existen también una gran desventajas, ya que la gran cantidad de información que
potencialmente se registra puede ser aprovechada para crear ataques de
negaciones de servicio.
Técnicas de autentificación
Método clásico
Uso delarchivo /etc/passwd. Un podría tratar de romper la contraseña, aunque esto es
poco probable, el atacante cifrara una palabra junto a un determinado salt, y comparar el resultado con la cadena almacenada en el archivo de claves.
Método clásico
De esta forma, un atacante leerá el archivo /etc/passwd y mediante un programa adivinador (o crackeador) como Crack o John the Ripper cifrará todas laspalabras de un archivo denominado diccionario, comparando el resultado obtenido en este proceso con la clave cifrada del archivo de contraseñas; si ambos coinciden, ya ha obtenido una clave para acceder al sistema de forma no autorizada
Shadow Password
La idea básica de este mecanismo es impedir que los usuarios sin privilegios puedan leer el archivo donde se almacenan las claves cifradas. Enequipos con /etc/shadow el archivo /etc/passwd sigue siendo legible para todos los usuarios, pero a diferencia del
mecanismo tradicional, las claves cifradas no se guardan en él, sino en el archivo /etc/shadow, que sólo el root puede leer.
El aspecto de /etc/shadow es en cierta forma similar al de /etc/passwd que ya hemos comentado: existe una línea por cada usuario del sistema, en la que se almacenasu login y su clave cifrada. Sin embargo, el resto de campos de este archivo son diferentes; corresponden a información que permite implementar otro mecanismo para proteger las claves de los usuarios.
Claves de un solo uso (one time password)
Existen dos métodos para implementar esta técnica:
Tokens de hardware Code books Sistemas de autentificación de red Nis y Nis+ Kerberos Radius LDAP...
Sistemas de archivos
Una norma básica de seguridad radica en la asignación a cada usuario sólo de los
permisos necesarios para poder cubrir las necesidades de su trabajo sin poner en
riesgo el trabajo de los demás.
Riesgos
Dentro del sistema Linux todo son archivos: desde la memoria física del equipo hasta el ratón, pasando por módems, teclado, impresoras etc.Esta filosofía de diseño es uno de los factores que mas éxito y potencia proporciona a Linux , pero también uno de los que mas peligros, debido a que un simple error en un permiso puede permitir a un usuario modificar todo el disco duro, o leer
los datos tecleados desde una Terminal etc.
El sistema de archivos es la parte del núcleo (Kernel) mas visible por los usuarios; se encarga de abstraerpropiedades físicas de los diferentes dispositivos para
proporcionar una interfaz única de almacenamiento: el archivo.
Cada sistema Linux tiene su sistema de archivos nativo. (ejemplo ext3)
Un primer criterio para mantener un sistema seguro es una correcta distribución del
espacio de almacenamiento. Esto limita el riesgo de que el deterioro de
una partición afecte a todo el sistema. La pérdidase limitaría al contenido de esa
partición.
Tamaño de las particiones
No hay unas normas generales aplicables; el uso al que vaya destinado el sistema y la experiencia son las bases de la decisión adecuada, aunque por lo general se recomienda:
Si el sistema va a dar servicio a múltiples usuarios que requieren almacenamiento para sus datos es conveniente que el directorio /home tenga su propiapartición.
Si el equipo va a ser un servidor el directorio /var o incluso /var/spool deberían tener su propia partición.
Casi todas las actividades realizadas en un sistema Linux son susceptibles a ser monitorizadas: desde las horas de acceso de cada usuario al sistema hasta las
paginas web mas frecuentemente visitadas, pasando por los intentos fallidos de conexión, los programas ejecutados oincluso el tiempo de CPU que cada usuario consume.
Es evidente que esta facilidad para recolectar información tiene grandes ventajas para la
seguridad.
Existen también una gran desventajas, ya que la gran cantidad de información que
potencialmente se registra puede ser aprovechada para crear ataques de
negaciones de servicio.
Técnicas de autentificación
Método clásico
Uso delarchivo /etc/passwd. Un podría tratar de romper la contraseña, aunque esto es
poco probable, el atacante cifrara una palabra junto a un determinado salt, y comparar el resultado con la cadena almacenada en el archivo de claves.
Método clásico
De esta forma, un atacante leerá el archivo /etc/passwd y mediante un programa adivinador (o crackeador) como Crack o John the Ripper cifrará todas laspalabras de un archivo denominado diccionario, comparando el resultado obtenido en este proceso con la clave cifrada del archivo de contraseñas; si ambos coinciden, ya ha obtenido una clave para acceder al sistema de forma no autorizada
Shadow Password
La idea básica de este mecanismo es impedir que los usuarios sin privilegios puedan leer el archivo donde se almacenan las claves cifradas. Enequipos con /etc/shadow el archivo /etc/passwd sigue siendo legible para todos los usuarios, pero a diferencia del
mecanismo tradicional, las claves cifradas no se guardan en él, sino en el archivo /etc/shadow, que sólo el root puede leer.
El aspecto de /etc/shadow es en cierta forma similar al de /etc/passwd que ya hemos comentado: existe una línea por cada usuario del sistema, en la que se almacenasu login y su clave cifrada. Sin embargo, el resto de campos de este archivo son diferentes; corresponden a información que permite implementar otro mecanismo para proteger las claves de los usuarios.
Claves de un solo uso (one time password)
Existen dos métodos para implementar esta técnica:
Tokens de hardware Code books Sistemas de autentificación de red Nis y Nis+ Kerberos Radius LDAP...
Leer documento completo
Regístrate para leer el documento completo.