Miguel de Cervantes y Saavedra - Don Quijote de la Mancha - Ebook:
HTML+ZIP- TXT - TXT+ZIP

Wikipedia for Schools (ES) - Static Wikipedia (ES) 2006
CLASSICISTRANIERI HOME PAGE - YOUTUBE CHANNEL
SITEMAP
Make a donation: IBAN: IT36M0708677020000000008016 - BIC/SWIFT:  ICRAITRRU60 - VALERIO DI STEFANO or
Privacy Policy Cookie Policy Terms and Conditions
Seguridad Interna del Sistema Unix - Wikipedia, la enciclopedia libre

Seguridad Interna del Sistema Unix

De Wikipedia, la enciclopedia libre

[editar] Segurida Interna del Sistema Unix

Indice
Índice 2
Glosario 3
Introducción 6
1. Planteamiento del Problema 7
1.1. Objetivos 7
1.1.1. Objetivo General 7
1.1.2. Objetivos Especificos 7
1.2. Justificación 7
2. Marco Teórico 7
2.1. Conceptos Previos 7
2.1.1. ¿Qué es seguridad? 7
2.1.2. ¿Seguridad en unix? 8
2.1.3. Elementos Fundamentales A Proteger 8
2.1.4. Tipos de Amenazas 9
2.1.5. ¿De qué nos queremos proteger? 9
2.1.5.1. Personas 9
2.1.5.2. Amenazas lógicas 10
2.1.5.3. Catástrofes 12
2.1.6. ¿Cómo nos podemos proteger? 12
2.2. Clasificación De Sistemas 14
2.2.1. Seguridad Del Entorno De Operaciones 15
2.2.1.1. Seguridad Física De Sistemas 15
2.2.1.2. Administradores, Usuarios Y Personal 15
2.2.2. Seguridad Del Sistema 16
2.2.2.1. Seguridad En Cuentas 16
2.3. Aplicando Seguridad 18
2.3.1. Seguridad Física / de Arranque 18
2.3.1.1. Acceso Físico 18
2.3.1.2. La BIOS del ordenador 18
2.3.1.3. Lilo 19
2.3.2. Seguridad de contraseñas 21
2.3.2.1. Reventando contraseñas 22
2.3.3. Seguridad de Ficheros / Sistema de ficheros 23
2.3.4. Seguridad en las Consolas 24
2.3.4.1. Borrado seguro de ficheros 24
2.3.4.2. Listas de Control de Acceso (ACL’s) 24
2.3.5. Seguridad física 25
3. Conclusiones 27
4. Referencias 27



Glosario


administración: Proceso por el cual se mantiene un sistema a punto y operativo. Es una tarea de la que se encarga el administrador o root y sus posibles colaboradores.Abarca acciones tales como: configurar nuevos dispositivos, administrar cuentas, seguridad del sistema...

background: Segundo plano. Se habla de proceso en segundo plano cuando se ejecuta sin nuestra interactividad o lo pasamos a modo suspendido. Es útil si por ejemplo, estamos compilando un programa grande que nos deja inutilizada la consola mientras dura el proceso de compilación. Pasándolo a segundo plano, el proceso se completaría, pero nosotros podríamos seguir trabajando.

bash: (Bourne Again Shell) Interprete de comandos. Es el shell por defecto en la mayoría de las distribuciones de GNU/Linux de hoy en día. Se encarga de interpretar las ordenes que le demos para su proceso por el kernel.

boot: Proceso de arranque en un sistema informatico.

compilar: Proceso por el cual se "traduce" un programa escrito en un lenguaje de programación a lo que realmente entiende el ordenador.

consola: Una consola la forman el teclado y el monitor del equipo donde tenemos instalado GNU/Linux . No confundir con terminal.

cuenta: Una cuenta en un sistema Unix/Linux puede ser algo así como la llave de un taller comunitario. Es decir, tenemos una llave personal que nos permite acceder a ese taller y utilizar algunas de las herramientas del mismo. Donde además tenemos que atenernos a las normas que rijan en ese taller.

KDE: K Desktop Environment. Entorno de escritorio que integra gestor de ventanas propio y una barra de tareas y que al igual que GNOME permite la interacción entre sus aplicaciones. Programado en C++ y con la base de librerias QT+ ha sido víctima de criticas por parte de la comunidad GNU/Linux, ya que estas librerias eran propiedad de una empresa comercial.

kernel: Véase núcleo

kerneld: Demonio para la carga dinámica de módulos. Cuando necesitamos el uso de un determinado dispositivo, no es necesario tener su controlador todo el tiempo cargado en memoria, por lo que este demonio se encarga de enlazarlo con el resto del núcleo.

lilo: LInux LOader. Programa que nos permite elegir que sistema operativo arrancar, en el caso de tener varios.

Linus Torvalds: Estudiante finlandés creador del núcleo de GNU/Linux. Actualmente, el desarrollo del núcleo, depende de unos cientos de personas, incluido Linus.

Linux Núcleo del sistema operativo GNU/Linux login: Programa encargado de la validación de un usuario a la entrada al sistema. Primero pide el nombre del usuario y después comprueba que el password sea el asignado a este.

man: Manual en línea del sistema. Aquí puedes buscar casi cualquier cosa relacionada con el sistema, sus comandos, las funciones de biblioteca, etc.

mbr: Master Boot Record. Tabla de información referente al tamaño de las particiones.

módulos: Porciones de código que se añaden en tiempo de ejecución al kernel para el manejo de dispositivos o añadir funciones al núcleo.

monousuario: Sistema informatico que solo admite el trabajo con una persona.

montar: Poner un dispositivo o un sistema de ficheros en disposición de ser usado por el sistema.

multitarea: Capacidad de un sistema para el trabajo con varias aplicaciones al mismo tiempo.

multiusuario: Capacidad de algunos sistemas para ofrecer sus recursos a diversos usuarios conectados a través de terminales.

password: Palabra clave personal, que nos permite el acceso al sistema una vez autentificada con la que poseé el sistema en el fichero passwd.

path: Variable del entorno, cuyo valor contiene los directorios donde el sistema buscara cuando intente encontrar un comando o aplicación. Viene definida en los ficheros .bashrc o .bash_profile de nuestro directorio home.

permisos: Todos los archivos en UNIX/Linux tienen definido un set de permisos que permiten establecer los derechos de lectura, escritura o ejecución para el dueño del archivo, el grupo al que pertenece y los demás usuarios.

root: Persona o personas encargadas de la administración del sistema Tiene TODO el privilegio para hacer y deshacer, por lo que su uso para tareas que no sean absolutamente necesarias es muy peligroso.

superusuario: Ver root
telnet: Servicio que nos permite la conexión a otro ordenador de la red, pasando nuestro sistema a ser una terminal de ese ordenador.

terminal: Una terminal es un teclado y una pantalla conectados por cable u otro medio a un sistema UNIX/Linux, haciendo uso de los recursos del sistema conectado.

unix: Sistema operativo creado por AT&T a mediados de los 70

vi: Editor de texto muy potente aunque algo complejo al principio. Es el editor por defecto en casi todas las distribuciones. Hay versiones mejoradas (vim) o versiones para X Xvim. Debería ser obligado su aprendizaje 8-).

xterm: Terminal virtual que funciona bajo el sistema de ventanas Xwindow.













Introducción

En nuestro grupo investigamos diversos aspectos relacionados con la seguridad Interna del Sistema Unix y este suele ser uno de los puntos más comentados en como usuarios del sistema. Para estas jornadas hemos preparado un pequeño documento y corroborando con un pequeño video de muestra donde se comentan los pasos a seguir para que un administrador de una maquina pueda hacer que su maquina sea menos vulnerable a ataques de información y a accesos no autorizados por personas mal intencionadas. Lo primero hay que indicar es que los procedimientos que se mencionan a continuación están pensados para situaciones en las que se requiere que los equipos atacados vuelvan a funcionar adecuadamente.

A pesar de la seguridad que pueden ofrecer los sistemas operativos Unix y Linux, sigue aumentando significativamente el número de equipos con estos sistemas operativos que son atacados con éxito de forma remota, consiguiendo el atacante acceder como administrador al equipo. Esta situación se ha visto agravada estos últimos años con la reaparición de los programas gusano para equipos Unix, que consiguen acceso automáticamente a los equipos vulnerables, dejando algunas veces puertas abiertas para posteriores accesos.
















1. Planteamiento del Problema

Fomentar la aplicación de un sistema interno de seguridad


1.1. Objetivos

1.1.1. Objetivo General • Profundizar los conocimientos de seguridad en UNIX. • Cómo determinar qué asegurar y cómo asegurarlo

1.1.2. Objetivos Especificos • Reconocer las técnicas más sofisticadas usadas en ataques a sistemas UNIX.
• Asimilar las técnicas más avanzadas para lograr un sistema impenetrable.
• Desarrollar las habilidades que permiten detectar un ataque a partir de sutiles cambios en el comportamiento del sistema.


1.2. Justificación

A lo largo de este trabajo se va a intentar hacer un repaso de los puntos habituales referentes a seguridad en Unix y redes de computadores (problemas, ataques, defensas. . . ), aplicando el estudio a entornos con requisitos de seguridad medios (universidades, empresas.); de esta forma se ofrecerá una perspectiva general de la seguridad en entornos Unix, el funcionamiento de sus mecanismos, y su correcta utilización. También se hablara, en menor medida, sobre temas menos técnicos pero que también afectan directamente a la seguridad informática, como puedan ser el problema del personal o la legislación vigente.


2. Marco Teórico
2.1. Conceptos Previos
2.1.1. ¿Qué es seguridad?
Podemos entender como seguridad una característica de cualquier sistema, informático o no, que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible. Como esta característica, particularizando para el caso de sistemas operativos o redes de computadores, es muy difícil de conseguir (según la mayoría de expertos, imposible), se suaviza la definición de seguridad y se pasa a hablar de fiabilidad (probabilidad de que un sistema se comporte tal y como se espera de él) más que de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de sistemas seguros.

A grandes rasgos se entiende que mantener un sistema seguro (o fiable) consiste básicamente en garantizar tres aspectos:
\ Confidencialidad
\ Integridad
\ Disponibilidad.
La confidencialidad nos dice que los objetos de un sistema han de ser accedidos únicamente por elementos autorizados a ello; la integridad significa que los objetos sólo pueden ser modificados por elementos autorizados, y la disponibilidad indica que los objetos del sistema tienen que permanecer accesibles a elementos autorizados.

2.1.2. ¿Seguridad en unix?
En la década de los ochenta para mucha gente el concepto de seguridad era algo inimaginable en el entorno UNIX: la facilidad con que un experto podía acceder a un sistema, burlar todos sus mecanismos de protección y conseguir el máximo nivel de privilegio era algo de sobra conocido por todos, por lo que nadie podía pensar en un sistema UNIX seguro.
En la actualidad UNIX ha añadido numerosas herramientas, aplicaciones, y cualidades; en especial en lo referente a redes: rlogin, rexec, NFS, BOOTPARM, etc., y es aquí donde residen la mayoría de los problemas de seguridad. Convirtiéndose en el primer sistema operativo en alcanzar niveles de seguridad muy altos. En la actualidad se puede considerar el sistema operativo de propósito general más fiable del mercado; desde los clones habituales (Solarios, HP-UX, IRIX.), hasta los "Trusted Unix (Unix seguros), considerados los sistemas operativos más seguros del mundo"), pasando por los sistemas gratuitos (Linux; que requiere una mínima puesta a punto, FreeBSD.). Cualquier entorno Unix puede ofrecer los mecanismos de seguridad suficientes para satisfacer las necesidades de la mayoría de instituciones.
2.1.3. Elementos Fundamentales A Proteger
Un sistema Operativo que reúna estos tres aspectos mencionados, debe ser capaz de proteger los tres elementos principales en cualquier sistema informático que son: el software, el hardware y los datos. Por hardware entendemos el conjunto formado por todos los elementos físicos de un sistema informático, como CPUs, terminales, cableado, medios de almacenamiento secundario (cintas, CD-ROMs, diskettes, etc.) o tarjetas de red. Por software entendemos el conjunto de programas lógicos que hacen funcional al hardware, tanto sistemas operativos como aplicaciones, y por datos el conjunto de información lógica que manejan el software y el hardware, como por ejemplo paquetes que circulan por un cable de red o entradas de una base de datos. Aunque generalmente en las auditorías de seguridad se habla de un cuarto elemento a proteger, los fungibles (elementos que se gastan o desgastan con el uso continuo, como papel de impresora, tóners, cintas magnéticas, diskettes.), aquí no consideraremos la seguridad de estos elementos por ser externos al sistema Unix. Habitualmente los datos constituyen el principal elemento de los tres a proteger, ya que es el más amenazado y seguramente el más difícil de recuperar: con toda seguridad una máquina Unix está ubicada en un lugar de acceso físico restringido, o al menos controlado, y además en caso de pérdida de una aplicación (o un programa de sistema, o el propio núcleo de Unix) este software se puede restaurar sin problemas desde su medio original (por ejemplo, el CD-ROM con el sistema operativo que se utilizó para su instalación). Sin embargo, en caso de pérdida de una base de datos o de un proyecto de un usuario, no tenemos un medio "original" desde el que restaurar: hemos de pasar obligatoriamente por un sistema de copias de seguridad, y a menos que la política de copias sea muy estricta, es difícil devolver los datos al estado en que se encontraban antes de la pérdida.
2.1.4. Tipos de Amenazas
Generalmente, la taxonomía más elemental de estas amenazas las divide en cuatro grandes grupos: interrupción, interceptación, modificación y fabricación. Un ataque se clasifica como interrupción si hace que un objeto del sistema se pierda, quede inutilizable o no disponible. Se tratará de una interceptación si un elemento no autorizado consigue un acceso a un determinado objeto del sistema, y de una modificación si además de conseguir el acceso consigue modificar el objeto; algunos autores consideran un caso especial de la modificación: la destrucción, entendiéndola como una modificación que inutiliza al objeto afectado. Por ultimo, se dice que un ataque es una fabricación si se trata de una modificación destinada a conseguir un objeto similar al atacado de forma que sea difícil distinguir entre el objeto original y el "fabricado".
2.1.5. ¿De qué nos queremos proteger?
En seguridad informática en general, y especialmente en las relativas a seguridad en Unix, se intenta clasificar en grupos a los posibles elementos que pueden atacar nuestro sistema. A continuación se presenta una relación de los elementos que potencialmente pueden amenazar a nuestro sistema:
2.1.5.1. Personas
La mayoría de ataques a nuestro sistema van a provenir en última instancia de personas que, intencionada o inintencionadamente, pueden causarnos enormes pérdidas. Generalmente se tratará de piratas que intentan conseguir el máximo nivel de privilegio posible aprovechando alguno (o algunos) agujeros del software. Pero con demasiada frecuencia se suele olvidar que los piratas "clásicos" no son los únicos que amenazan nuestros equipos.
Aquí se describen brevemente los diferentes tipos de personas que de una u otra forma pueden constituir un riesgo para nuestros sistemas. Generalmente se dividen en dos grandes grupos: los atacantes pasivos, aquellos que fisgonean por el sistema pero no lo modifican -o destruyen-, y los activos, aquellos que dañan el objetivo atacado, o lo modifican en su favor.
• Personal
Las amenazas a la seguridad de un sistema proveniente del personal de la propia organización rara vez son tomadas en cuenta; se presupone un entorno de confianza donde a veces no existe, por lo que se pasa por alto el hecho de que casi cualquier persona de la organización, incluso el personal ajeno a la infraestructura informática (secretariado, personal de seguridad, personal de limpieza y mantenimiento, etc.) puede comprometer la seguridad de los equipos. Aunque los ataques pueden ser intencionados lo normal es que más que de ataques se trate de accidentes causados por un error o por desconocimiento de las normas básicas de seguridad. • Ex-empleados
Otro gran grupo de personas potencialmente interesadas en atacar nuestro sistema son los antiguos empleados del mismo, especialmente los que no abandonaron el entorno por voluntad propia (y en el caso de redes de empresas, los que pasaron a la competencia). Personas descontentas con la organización que pueden aprovechar debilidades de un sistema que conocen perfectamente para dañarlo como venganza por algún hecho que no consideran justo • Curiosos
Junto con los crackers, los curiosos son los atacantes más habituales de sistemas Unix en redes de I+D. Aunque en la mayoría de situaciones se trata de ataques no destructivos, parece claro que no benefician en absoluto al entorno de fiabilidad que podamos generar en un determinado sistema. • Crackers
Los entornos de seguridad media son un objetivo típico de los intrusos, ya sea para fisgonear, para utilizarlas como enlace hacia otras redes o simplemente por diversión. Las redes son generalmente abiertas, y la seguridad no es un factor tenido muy en cuenta en ellas; por otro lado, el gran número y variedad de sistemas Unix conectados a estas redes provoca, que al menos algunos de sus equipos sean vulnerables a problemas conocidos de antemano. De esta forma un atacante sólo ha de utilizar un escáner de seguridad contra el dominio completo y luego atacar mediante un simple exploit los equipos que presentan vulnerabilidades; esto convierte a las redes de I+D, a las de empresas, o a las de ISPs en un objetivo fácil y apetecible para piratas con cualquier nivel de conocimientos. • Terroristas
Por "terroristas" no debemos entender simplemente a los que se dedican a poner bombas o quemar autobuses; bajo esta definición se engloba a cualquier persona que ataca al sistema simplemente por causar algún tipo de daño en él. • Intrusos remunerados
Se trata de piratas con gran experiencia en problemas de seguridad y un amplio conocimiento del sistema, que son pagados para robar secretos (el nuevo diseño de un procesador, una base de datos de clientes, información confidencial sobre las posiciones de satélites espía.) o simplemente para dañar la imagen de la entidad afectada.


2.1.5.2. Amenazas lógicas
Bajo la etiqueta de "amenazas lógicas’ encontramos todo tipo de programas que de una forma u otra pueden dañar a nuestro sistema, creados de forma intencionada para ello (software malicioso, también conocido como malware) o simplemente por error (bugs o agujeros). Algunas de las amenazas con que nos podemos encontrar son: o Software incorrecto
Las amenazas más habituales a un sistema Unix provienen de errores cometidos de forma involuntaria por los programadores de sistemas o de aplicaciones.
A estos errores de programación se les denomina bugs, y a los programas utilizados para aprovechar uno de estos fallos y atacar al sistema, exploits. Como hemos dicho, representan la amenaza más común contra Unix, ya que cualquiera puede conseguir un exploit y utilizarlo contra nuestra máquina sin ni siquiera saber cómo funciona y sin unos conocimientos mínimos de Unix; incluso hay exploits que dañan seriamente la integridad de un sistema (negaciones de servicio o incluso acceso root remoto).
o Herramientas de seguridad
Cualquier herramienta de seguridad representa un arma de doble filo: de la misma forma que un administrador las utiliza para detectar y solucionar fallos en sus sistemas o en la subred completa, un potencial intruso las puede utilizar para detectar esos mismos fallos y aprovecharlos para atacar los equipos. Herramientas como nessus, saint o satan pasan de ser útiles a ser peligrosas cuando las utilizan crackers que buscan información sobre las vulnerabilidades de un host o de una red completa. o Puertas traseras
Durante el desarrollo de aplicaciones grandes o de sistemas operativos es habitual entre los programadores insertar "atajos" en los sistemas habituales de autenticación del programa o del núcleo que se está diseñando. A estos atajos se los denomina puertas traseras, y con ellos se consigue mayor velocidad a la hora de detectar y depurar fallos. • Bombas lógicas
Las bombas lógicas son partes de código de ciertos programas que permanecen sin realizar ninguna función hasta que son activadas; en ese punto, la función que realizan no es la original del programa, sino que generalmente se trata de una acción perjudicial.
Los activadores más comunes de estas bombas lógicas pueden ser la ausencia o presencia de ciertos ficheros, la ejecución bajo un determinado UID o la llegada de una fecha concreta; si las activa el root, o el programa que contiene la bomba está setuidado a su nombre, los efectos obviamente pueden ser fatales. • Canales cubiertos
Los canales cubiertos (o canales ocultos) son canales de comunicación que permiten a un proceso transferir información de forma que viole la política de seguridad del sistema. No constituyen una amenaza demasiado habitual en redes de I+D, sin embargo, es posible su existencia, y en este caso su detección suele ser difícil.
• Virus
Un virus es una secuencia de código que se inserta en un fichero ejecutable (denominado huésped), de forma que cuando el archivo se ejecuta, el virus también lo hace, insertándose a sí mismo en otros programas.
Aunque los virus existentes para entornos Unix son más una curiosidad que una amenaza real, en sistemas sobre plataformas IBM-PC o compatibles (Linux, FreeBSD, NetBSD, Minix, Solaris.) ciertos virus, especialmente los de boot, pueden tener efectos nocivos, como dañar el sector de arranque.
o Gusanos Un gusano es un programa capaz de ejecutarse y propagarse por sí mismo a través de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta para dañarlos. Al ser difíciles de programar su número no es muy elevado, pero el daño que pueden causar es muy grande. Un gusano puede automatizar y ejecutar en unos segundos todos los pasos que seguiría un atacante humano para acceder a nuestro sistema, pero en un tiempo muchísimo menor. De ahí su enorme peligro y sus devastadores efectos. • Caballos de Troya Los troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que éste parezca realizar las tareas que un usuario espera de él, pero que realmente ejecute funciones ocultas, es decir que ocultan su función real bajo la apariencia de un programa inofensivo que a primera vista funciona correctamente. En la práctica totalidad de los ataques a Unix, cuando un intruso consigue el privilegio necesario en el sistema instala troyanos para ocultar su presencia o para asegurarse la entrada en caso de ser descubierto: por ejemplo, es típico utilizar lo que se denomina un rootkit, que no es más que un conjunto de versiones troyanas de ciertas utilidades (netstat, ps, who). o Programas conejo o bacterias Son los programas que no hacen nada útil, sino que simplemente se dedican a reproducirse hasta que el número de copias acaba con los recursos del sistema (memoria, procesador, disco, etc.), produciendo una negación de servicio. 2.1.5.3. Catástrofes Las catástrofes (naturales o artificiales) son la amenaza menos probable contra los entornos habituales: Como ejemplos de catástrofes hablaremos de terremotos, inundaciones, incendios, humo o atentados de baja magnitud (más comunes de lo que podamos pensar). 2.1.6. ¿Cómo nos podemos proteger? Hasta ahora hemos hablado de los aspectos que engloba la seguridad informática, de los elementos a proteger, de los tipos de amenazas que contra ellos se presentan y del origen de tales amenazas; para completar nuestra visión global de la seguridad, nos queda hablar de las formas de protección de nuestros sistemas.


Figura 1.2: Visión global de la seguridad informática.

Para proteger nuestro sistema se deben realizar análisis de las amenazas potenciales que puede sufrir nuestro sistema, las pérdidas que podrían generar, y la probabilidad de su ocurrencia; a partir de este análisis hemos de diseñar una política de seguridad que defina responsabilidades y reglas a seguir para evitar tales amenazas o minimizar sus efectos en caso de que se produzcan. A los mecanismos utilizados para implementar esta política de seguridad se las denomina mecanismos de seguridad; son la parte más visible de nuestro sistema de seguridad, que garantizan la protección de los sistemas o de la propia red.
Los mecanismos de prevención son aquellos que aumentan la seguridad de un sistema durante el funcionamiento normal de éste, previniendo la ocurrencia de violaciones a la seguridad; por ejemplo, el uso de cifrado en la transmisión de datos se puede considerar un mecanismo de este tipo, ya que evita que un posible atacante escuche las conexiones hacia o desde un sistema Unix en la red. Por mecanismos de detección se conoce a aquellos que se utilizan para detectar violaciones de la seguridad o intentos de violación; ejemplos de estos mecanismos son los programas de auditoría como Tripwire. Finalmente, los mecanismos de recuperación son aquellos que se aplican cuando una violación del sistema se ha detectado, para retornar a éste a su funcionamiento correcto. Hemos de enfatizar en el uso de mecanismos de prevención y de detección, ya que esto desde ya es mucho más productivo para el sistema, a que tener que restaurar la máquina tras una penetración. Por lo que estos dos mencionados serán los de más interés para nosotros.


Los mecanismos de prevención más habituales en Unix y en redes son los siguientes:
• Mecanismos de autenticación e identificación Estos mecanismos hacen posible identificar entidades del sistema de una forma única, y posteriormente, una vez identificadas, autenticarlas (comprobar que la entidad es quién dice ser). Son los mecanismos más importantes en cualquier sistema, ya que forman la base de otros mecanismos que basan su funcionamiento en la identidad de las entidades que acceden a un objeto.
• Mecanismos de control de acceso Cualquier objeto del sistema ha de estar protegido mediante mecanismos de control de acceso, que controlan todos los tipos de acceso sobre el objeto por parte de cualquier entidad del sistema. Dentro de Unix, el control de acceso más habitual es el discrecional (DAC, Discretionary Access Control) y las listas de control de acceso para cada fichero (objeto) del sistema; sin embargo, también se permiten especificar controles de acceso obligatorio (MAC). • Mecanismos de separación
Cualquier sistema con diferentes niveles de seguridad ha de implementar mecanismos que permitan separar los objetos dentro de cada nivel, evitando el flujo de información entre objetos y entidades de diferentes niveles siempre que no exista una autorización expresa del mecanismo de control de acceso. Los mecanismos de separación se dividen en cinco grandes grupos, en función de como separan a los objetos: separación física, temporal, lógica, criptográfica y fragmentación. Dentro de Unix, el mecanismo de separación más habitual es el de separación lógica o aislamiento, implementado en algunos sistemas mediante una Base Segura de Cómputo (TCB).
• Mecanismos de seguridad en las comunicaciones Es especialmente importante para la seguridad de nuestro sistema el proteger la integridad y la privacidad de los datos cuando se transmiten a través de la red. Para garantizar esta seguridad en las comunicaciones, debemos utilizar ciertos mecanismos, la mayoría de los cuales se basan en la Criptografía: cifrado de clave pública, de clave privada, firmas digi-tales, etc. Aunque cada vez se utilizan más los protocolos seguros (como SSH o Kerberos, en el caso de sistemas Unix en red), aún es frecuente encontrar conexiones en texto claro ya no sólo entre máquinas de una misma subred, sino entre redes diferentes.

2.2. Clasificación De Sistemas
Tenemos en claro que la palabra seguridad implica muchas cosas y que si hablamos de seguridad en sistemas informáticos, en especial en sistemas UNIX, que es el que nos lleva a desarrollar este tema, debemos entender que son varios los aspectos que considerar si queremos encontrarnos con un sistema medianamente seguro o mejor dicho "más fiable".
A continuación y para brindar una visión un poco más cercana a la realidad, que esta muy alejada a la que suponemos, se dará a conocer las diversas ramas que encierra la seguridad:

2.2.1. Seguridad Del Entorno De Operaciones
La seguridad del entorno de operaciones comprende dos aspectos que generalizan este entorno:
o Seguridad física de sistemas
o Administradores, usuarios y personal
2.2.1.1. Seguridad Física De Sistemas
La seguridad física de los sistemas informáticos consiste en la aplicación de barreras físicas y procedimientos de control como medidas de prevención y contramedidas contra las amenazas a los recursos y la información confidencial. Para el caso de equipos Unix y sus centros de operación, por "seguridad física" podemos entender todos aquellas mecanismos – generalmente de prevención y detección – destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.
La seguridad física abarca la protección del hardware (del acceso fisico y de desastres naturales o climatológicos) y la protección de los datos.
2.2.1.2. Administradores, Usuarios Y Personal
El punto más débil de cualquier sistema informático son las personas relacionadas en mayor o menor medida con él; desde un administrador sin una preparación adecuada o sin la suficiente experiencia, hasta un guardia de seguridad que ni siquiera tiene acceso lógico al sistema, pasando por supuesto por la gran mayoría de usuarios, que no suelen ser conscientes de que la seguridad también les concierne a ellos.
Existen otras amenazas a la seguridad provenientes de ese personal que no son necesariamente ataques en un sentido estricto de la palabra; en muchos casos no son intencionados, sino accidentales, lo cual también implica que se deben prevenir. Entre algunos de los ataques potenciales que pueden ser causados por estas personas, encontramos:
• Ingeniería social: consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían.
• Shoulder Surfing: consiste en "espiar" físicamente a los usuarios para obtener generalmente claves de acceso al sistema.
• Masquerading: consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno. • Basureo: consiste en obtener información dejada en o alrededor de un sistema informático tras la ejecución de un trabajo.
• Actos delictivos: bajo este nombre se engloba actos tipificados claramente como delitos por las leyes, como el chantaje, el soborno o la amenaza.
• Atacante interno: Principalmente que la mayor amenaza a nuestros equipos viene de parte de personas que han trabajado o trabajan con los mismos. Para minimizar el daño que un atacante interno puede causar se suelen seguir principios fundamentales sobre el personal de la empresa, por ej: mínimo privilegio, conocimiento parcial, rotación de funciones y separación de funciones, entre otras.
2.2.2. Seguridad Del Sistema
Es un sistema que sin dudas es uno de los más importantes y donde podemos encontrar la base de todo sistema informático y que constituye el elemento fundamental a proteger, nos estamos refiriendo a los datos, ya que seguramente son los más difíciles de recuperar.
Los sistemas que abarcan la administración de los mismos son los siguientes:
o Seguridad en cuentas
o Sistemas de ficheros
o Programas seguros, inseguros y nocivos
o Auditoría de sistemas
o Seguridad del núcleo
o Copias de Seguridad
2.2.2.1. Seguridad En Cuentas
Este segmento trata de la prevención contra el acceso de un Cracker o alguien ajeno a la empresa, por ej, en un sistema informático colándose en la cuenta de algún otro usuario. Ya que el acceso a las mismas, en algunos casos, es bastante fácil. Debido a que numerosos sistemas tienen todavía cuentas activas de usuarios que ya no están en la compañía, o cuentas con passwords fáciles.
Crack: Es un potente programa adivinador de contraseñas (password ), que permite a cualquier administrador verificar que los passwords de sus usuarios son aceptables (esto es, mínimamente resistentes a un ataque de fuerza bruta), examinando el fichero de contraseñas de cualquier sistema Unix, y utilizando en la mayoría de casos unos diccionarios como patrón.
El sistema contiene componentes visibles para el usuario que son importantes para la seguridad que son los siguientes:
• Identificación y autentificación (I&A)
• Control discrecional de acceso
• Privilegios de procesos

2.2.2.2. Identificación y autentificación (I&A)
La identificación es el mecanismo mediante el cual, a través de un ID de entrada, el sistema reconoce a un usuario como usuario legítimo para UnixWare. La autentificación es el mecanismo mediante el cual, a través de una contraseña, el sistema verifica la identidad del usuario. Estos mecanismos, juntos, se denominan identificación y autentificación (I&A).
Cuando el sistema identifica y autentifica a un usuario, se revela también cierta información sobre el acceso de dicho usuario a la información, es decir, sus atributos de acceso.
Los mecanismos de I&A evitan que los usuarios no autorizados entren en el sistema y aseguran que los usuarios entran sólo en las áreas para las que están autorizados.
Los sistemas de autenticación se dividen en tres grandes grupos: sistemas basados en algo conocido (una contraseña), sistemas basados en algo poseído (una tarjeta inteligente) y sistemas biométricos (basados en características del individuo, como por ejemplo el trazo de la firma o una huella dactilar).
2.2.2.3. Sistemas basados en algo conocido
El modelo de autenticación más básico consiste en decidir si un usuario es quien dice ser simplemente basándonos en una prueba de conocimiento que a priori sólo ese usuario puede superar. El mecanismo más común dentro de los de este tipo es la contraseña, que hoy constituye el más común de los sistemas de autenticación debido principalmente al bajo costo que implica, pero desgraciadamente, también es el más vulnerable.
Los programas que ejecutan la I&A basados en algo conocido en son:
• Login
• Passwd
Login
En cualquier sistema Unix, todo usuario tiene asociado un nombre de entrada al sistema (login) y una contraseña (password). El programa Login identifica y autentifica a los usuarios. Pide un nombre de entrada y una contraseña, se encarga de validar éstas y otras entradas introducidas en el indicativo de entrada. Sin embargo, el sistema no reconoce a los usuarios por este nombre de usuario, sino que cada uno tiene asociado un número (el UID, User IDentification) que corresponde con su login. Podremos tener varios usuarios con el mismo UID pero distinto login, y se hace así para poder tener a distintos usuarios con el mismo nivel de privilegios. De esto modo, podremos tener, por ejemplo, a más de un super-usuario en el sistema.
La información sobre entradas está en el archivo /etc/passwd.
La instrucción login comprueba la contraseña introducida, comparándola con las contraseñas codificadas del archivo /etc/shadow Si se ha introducido un nombre de entrada y una contraseña válidos, login ejecuta el programa especificado en el archivo password Password
El password es la parte vital de la seguridad de cuentas en los sistemas. Si un cracker es capaz de adivinar el password de un usuario podrá entrar en el sistema con todos los permisos de ese usuario, y una vez allí el sistema queda bajo su control. Si el password obtenido por éste es el de super-usuario (root) el problema es serio del todo.
El programa passwd de UNIX contiene numerosas restricciones a la hora de seleccionar el password.
Esta es una de las tareas de los Administradores de Sistemas. Lo mejor es establecer normas para passwords (ya sea a través de programas comerciales o mediante shell-scripts) Actualmente hay varios programas destinados a verificar la seguridad de sistemas UNIX. El más conocido es el SATAN.

2.3. Aplicando Seguridad

2.3.1. Seguridad Física / de Arranque

2.3.1.1. Acceso Físico
Este área viene cubierta en profundidad en el libro "Practical Unix and Internet Security", pero daré un breve repaso a lo básico. Alguien apaga el servidor principal de contabilidad, lo vuelve a encender, arranca desde un disquete especial y transfiere el fichero pagas.db a un ftp en el extranjero. A menos que el servidor de contabilidad esté bloqueado, ¿qué le impide a un usuario malintencionado (o al personal de limpieza del edificio, el chico de los recados, etc.) hacer tal cosa? He escuchado historias de terror acerca de personal de limpieza desenchufando los servidores para poder enchufar sus aparatos de limpieza. He visto cómo la gente pulsaba por accidente el pequeño botón de reset y reiniciaban los servidores (no es que lo haya hecho yo alguna vez). Tiene sentido bloquear los servidores en una habitación segura (o incluso en un armario). También es una buena idea situar a los servidores en una superficie elevada, para evitar daños en el caso de inundaciones (ya sea por un agujero en el techo o lo que sea).
2.3.1.2. La BIOS del ordenador
La BIOS del ordenador es uno de sus componentes de más bajo nivel, controla la forma en que el ordenador arranca y otro tipo de cosas. Las BIOS viejas tiene fama de tener claves universales, asegúrate de que tu bios es reciente y que no contiene semejante puerta trasera. La bios se puede utilizar para bloquear la secuencia de arranque de un equipo, limitándola a C: únicamente, por ejemplo, al primer disco duro, lo cual es una buena idea. Deberías utilizar la bios para eliminar la disquetera (el servidor típico no va a necesitar utilizarla), y puede evitar que los usuarios copien datos de la máquina a disquetes. También puedes eliminar los puertos serie en las máquinas de los usuarios, de tal forma que puedan instalar módems, la mayoría de los ordenadores modernos utilizan teclados y ratones PS/2, así que quedan pocas razones por las que podría necesitarse un puerto serie (además de que se comen IRQ’s). Lo mismo sirve para el puerto paralelo, permitiendo a los usuarios imprimir obviando la red, o dándoles la oportunidad de instalar una grabadora de CDROM o un disco duro externo, lo cual puede disminuir la seguridad en buena medida. Como se puede ver, esto es un añadido a la política del menor privilegio, y puede disminuir considerablemente los riesgos, al igual que facilitar la administración de la red (menos conflictos de IRQs, etc.)
2.3.1.3. Lilo
Una vez que el ordenador ha decidido arrancar de C:, LILO (o cualquier otro gestor de arranque que utilices) despega. La mayoría de los gestores de arranque permiten algún tipo de flexibilidad en el modo en que se arranca el sistema, especialmente LILO, pero también es una espada de dos filos. Puedes pasarle argumentos a LILO a la hora de arrancar, siendo el argumento más dañino (desde el punto de vista de la seguridad) "imagename single", lo cual arranca Linux en modo de único usuario, y por defecto, la mayoría de las distribuciones te vuelcan a un prompt de root en un shell de comandos sin preguntar contraseñas u otro tipo de mecanismos de seguridad. Hay varias técnicas para minimizar este riesgo.

timeout =x
esto controla la cantidad de tiempo (en décimas de segundo) que LILO espera a que el usuario introduzca datos antes de arrancar la opción por defecto. Uno de los requerimientos de la seguridad de nivel C2 es que este intervalo sea puesto a 0 (obviamente, cualquier máquina con arranque dual acaba con cualquier tipo de seguridad). Es una buena idea poner esto a 0, a menos que el sistema arranque dualmente. prompt
fuerza al usuario a introducir algo, LILO no arrancará el sistema automáticamente. Esto podría ser útil en servidores, como una forma de eliminar los reinicios sin que esté presente una persona, pero lo típico es que si el hacker tiene capacidad para reiniciar la máquina, podría reescribir el MBR con nuevas opciones de arranque. Si le añades una opción de cuenta atrás, el sistema continuará arrancando después de que haya terminado la cuenta atrás.
restricted
pide una contraseña si se pasan opciones de tiempo de arranque (tales como "linux single" o “linux init=/bin/sh”). Asegúrate de que utilizas esto en cada imagen (si no, el servidor necesitará una contraseña para arrancar, lo cual está bien si no planeas arrancarlos remotamente nunca).
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=100
default=linux
image=/boot/vmlinuz-2.6.18
label=linux
root=/dev/hda1
read-only
restricted
password=aqu1_va_la_c0ntRaSeña
Esto reinicia el sistema utilizando el kernel /boot/vmlinuz-2.6.18, almacenado en el MBR del primer disco IDE del sistema, el prompt impediría hacer reinicios desatendidos, sin embargo está implícito en la imagen, de modo que puede arrancar "linux" sin problemas, pero pediría una contraseña si introduces "linux single", de modo que si quiere ir al modo "linux single", tienes 10 segundos para escribirlo, en cuyo punto te preguntaría por la contraseña ("aqu1_va_la_c0ntRaSeña"). Combina esto con una BIOS configurada para arrancar sólo desde C: y protegida con contraseña y has conseguido un sistema bastante seguro. Una medida menor de seguridad que puedes tomar para asegurar el fichero lilo.conf es dejarlo invariable, utilizando el comando "chattr". Para hacer el fichero invariable, simplemente teclea:
chattr +i /etc/lilo.conf
y esto evitará cualquier cambio (accidental o de otro tipo) en el fichero lilo.conf. Si quieres modificar el fichero lilo.conf necesitarás quitar el flag de invariable:
chattr -i /etc/lilo.conf
sólo el root tiene acceso al flag de invariable

2.3.2. Seguridad de contraseñas

En todo sistema operativo tipo UNIX se dan varias constantes, y una de ellas es el fichero /etc/passwd y la forma en que funciona. Para que la autentificación de usuario funcione correctamente se necesitan (como mínimo) algún tipo de fichero(s) con UID a mapas de nombres de usuarios, GID a mapas de nombres de grupos, contraseñas para todos los usuarios y demás información variada. El problema es que todo el mundo necesita acceso al fichero de contraseñas, cada vez que se hace un ls, se verifica el fichero de contraseñas, de modo que ¿cómo se consigue almacenar todas las contraseñas con seguridad y a la vez mantenerlas legibles por el mundo? Durante muchos años, la solución ha sido bastante simple y efectiva, simplemente, haz un hash de las contraseñas y guarda el hash, cuando un usuario necesite autentificar, toma la contraseña que introduce, pásala por el hash y si coincide, evidentemente se trataba de la misma contraseña. El problema que tiene esto es que la potencia computacional ha crecido enormemente, y ahora se puede coger una copia del fichero de contraseñas e intentar abrirlo mediante fuerza bruta en una cantidad de tiempo razonable. Para resolver esto hay varias soluciones:
• Utiliza un algoritmo de hashing "mejor", como MD5. Problema: se pueden romper muchas cosas si están esperando algo más.
• Almacena las contraseñas en alguna otra parte. Problema: el sistema/usuarios siguen necesitando tener acceso a ellas, y podría hacer que fallasen algunos programas si no están configurados de esta forma.
Varios SO’s han escogido la primera opción, Linux ha implementado la segunda desde hace tiempo, se llama contraseñas con shadow. En el fichero de contraseñas, se reemplaza la contraseña por una ‘x’, lo cual le indica al sistema que verifique tu contraseña contra el fichero shadow (se hace lo mismo con el fichero de grupos y sus contraseñas). Parece lo suficientemente simple, pero hasta hace bien poco, implementar el shadow era una ardua tarea. Había que recompilar todos los programas que verificasen la contraseña (login, ftpd, etc, etc) y esto, por supuesto, implica una considerable cantidad de esfuerzo. Es aquí donde brilla Red Hat, con su confianza en PAM.
Para implementar contraseñas con shadow hay que hacer dos cosas. La primera es relativamente simple, cambiar el fichero de contraseñas, pero la segunda puede ser un calvario. Hay que asegurarse que todos tus programas tienen soporte para contraseñas con shadow, lo cual puede ser bastante penoso en algunos casos (esta es una más que importante razón por la cual un mayor número de distribuciones deberían venir con PAM).
Debido a la confianza de Red Hat en PAM para la autentificación, para implementar un esquema nuevo de autentificación todo lo que se necesita es añadir un módulo PAM que lo entienda y editar el fichero de configuración para cualquier programa (digamos el login) permitiéndole que use ese módulo para hacer la autentificación. No hace falta recompilar, y hay poco tejemaneje, ¿a que sí? En Red Hat 6.0, durante la instalación se te da la opción de elegir contraseñas con shadow, o puedes implementarlas más tarde vía las utilidades pwconv y grpconv que vienen con el paquete de utilidades shadow. La mayoría del resto de distribuciones también tienen soporte para contraseñas con shadow, y la dificultad de implementación varía de un modo u otro. Ahora, para que un atacante mire las contraseñas con hash, tiene que esforzarse un poco más que simplemente copiar el fichero /etc/passwd. También asegúrate de ejecutar cada cierto tiempo pwconv, para tener la certeza de que todas las contraseñas efectivamente tienen shadow. Hay veces que las contraseñas se quedan en /etc/passwd en lugar de enviarse a /etc/shadow como deberían, lo cual hacen algunas utilidades que editan el fichero de contraseñas.
2.3.2.1. Reventando contraseñas
En Linux las contraseñas se guardan en formato hash, sin embargo ello no las hace irrecuperables, no es posible hacer ingeniería inversa de la contraseña a partir del hash resultante, sin embargo sí que puedes hacer un hash de un lista de palabras y compararlas. Si el resultado coincide, entonces has encontrado la contraseña, es por esto que es crítica la elección de buenas contraseñas, y las palabras sacadas de un diccionario son una idea horrible. Incluso con un fichero de contraseñas con shadow, el root puede acceder a las contraseñas, y si se han escrito scripts o programas que se ejecuten como root (pongamos un script CGI para www) los atacantes pueden recuperar el fichero de contraseñas. La mayoría del software para reventar contraseñas también te permite la ejecución en múltiples hosts en paralelo para acelerar las cosas.
John the ripper ("Juan el destripador") Un eficiente revienta contraseñas disponible en:
http://www.false.com/security/john/ Crack
El revienta contraseñas original y ampliamente extendido (según me consta), lo puedes conseguir en: http://www.users.dircon.uk/~crypto/ Saltine cracker Otro revienta contraseñas con capacidades de red, lo puedes descargar de: http://www.thegrid.net/gravitino/products.html VCU VCU (Velocity Cracking Utilities) es un programa basado en windows para ayudar a reventar contraseñas "VCU intenta facilitar la tarea de reventar contraseñas a usuarios de ordenadores de cualquier nivel". Lo puedes descargar desde: http://wilter.com/wf/vcu/ Espero que esto sea suficiente motivo para utilizar contraseñas con shadow y un hash más robusto como el MD5 (el cual soporta Red Hat 6.0, no conozco otras distribuciones que lo soporten).
2.3.3. Seguridad de Ficheros / Sistema de ficheros

La mayor parte de la seguridad son los permisos de usuarios. En Linux, un fichero es ‘propiedad’ de 3 entidades separadas, un Usuario, un Grupo y Otros (que es el resto). Se puede asignar a qué usuario pertenece un fichero y a qué grupo pertenece mediante: chown usuario:grupo objeto donde objeto es un fichero, directorio, etc.
ejemplo:
1. Creamos un usuario,

  1. adduser luz

2. Creamos un grupo,

  1. groupadd alumnas

3. agregándola al grupo alumnas al archivo /etc/group así:

  1. vi /etc/group en la cual a la usuaria luz se le agrega al grupo alumnas.

alumnas:x:102:luz
4. Creamosuna carpeta.(/# mkdir trabajo)
5. seguidamente utilizamos el comando chown(dar un propietario)
5.1 # chown luz:alumnas /trabajo
Esto sisgnifica que hacemos propietario a la usuaria luz y a su grupo alumnas de la carpeta trabajo.
5.2 Utilizamos le comando chmod(modificar permisos) y damos mendiante esta, permisos de escritura, lectura, y ejecución al usuario, grupo, y otros.
5.3 # chmod 770 /trabajo
Aquí estamos dando acceso a rwx (lectura, escritura, ejecución) al usuario, al grupo y quitando todo acceso a otros, el 7 significa que tiene todos los permisos
2.3.4. Seguridad en las Consolas

2.3.4.1. Borrado seguro de ficheros
Algo que muchos de nosotros olvidamos es que cuando se borra un fichero, en realidad no se ha ido. Incluso se sobrescribe, se vuelve a formatear el disco duro o se lo intenta destruir de cualquier otra forma, hay posibilidades de que pueda ser recuperado, y por lo general, los servicios de recuperación de datos sólo cuestan unos pocos cientos de miles de pesetas, de modo que quizás les mereciese la pena a los atacantes en tiempo y en dinero. El truco consiste en desordenar los datos, alterando los bits magnéticos (alias los 1’s y 0’s) para que una vez hubiera terminado, no quedasen trazas del original (es decir, bits magnéticos cargados de la misma forma que estaban originariamente). Se han escrito dos programas (ambos llamados wipe) a tal efecto. wipe (durakb@crit2.univ-montp2.fr) wipe borra datos con seguridad, sobrescribiendo el fichero múltiples veces con varios patrones de bits, p. ej., todo 0’s, luego todo 1’s, luego alternando 1’s y 0’s, etc. Se puede utilizar wipe en ficheros o en dispositivos, si se utiliza con ficheros, hay que recordar que las fechas de creación de ficheros, permisos, etc., no serán borrados, de modo que asegúrate de borrar el dispositivo si se necesita eliminar toda traza de cualquier cosa. Se puede conseguir en: http://gsu.linux.org.tr/wipe/ wipe (thomassr@erols.com) Este también borra datos de forma segura, sobrescribiéndolos múltiples veces, sin embargo este no soporta el borrado de dispositivos. Se puede conseguir en: http://users.erols.com/thomassr/zero/download/wipe/ 2.3.4.2. Listas de Control de Acceso (ACL’s) Uno de los componentes que se echan en falta es un sistema de ficheros Linux Listas de Control de Acceso (ACL’s) en lugar de los habituales Usuario, Grupo, Otros, con su docena o así de permisos. Las ACL’s te permiten un control de accesos del sistema de ficheros más afinado, por ejemplo, se puede otorgar al usuario "paco" acceso total a un fichero, a "maría" permiso de lectura, al grupo de ventas, permiso de cambio, al grupo de contabilidad, permiso de lectura, y ningún permiso para el resto. Bajo los permisos existentes para Linux, no se podría hacer esto. De aquí la necesidad de las ACL’s.
El proyecto de trustees (ACL) de Linux es una serie de parches y utilidades del kernel para configurar accesos ACL al sistema de ficheros. Esta solución es algo cutre, ya que mantiene los permisos en un fichero, y actúa como una capa de filtrado entre el fichero y los usuarios, lo cual no es un sistema basado en ACL propiamente dicho (pero es un empiece). Se puede conseguir en:
http://www.braysystems.com/linux/trustees.html

2.3.5. Seguridad física
El tema de la seguridad interna se pasa por alto a menudo. Sin embargo, es a menudo bastante fácil que alguien consiga el acceso a los sistemas que no son supuestos para tener acceso simplemente caminando hasta un escritorio válido de los usuarios. Esto puede ser el personal de la limpieza o empleado (ex) contrariedad que hace una visita. Éste es el tipo más fácil de seguridad a poner en ejecución y se debe incluir definitivamente en cualquier plan de la seguridad.
• Seguridad de la consola

Necesidad de las máquinas y de las consolas de ser seguro. Una persona puede dar vuelta simplemente apagado a una computadora si una tiene acceso a él. Si tienen acceso a la consola, pueden interrumpir a menudo el proceso del cargador para conseguir el acceso al aviso de la raíz. Si esto no trabaja, pueden mantener el conjeturar de la contraseña de la raíz esperanzas de comprometer el sistema.

Por estas razones (y más), las computadoras y las consolas asociadas se deben mantener un cuarto seguro. Un número limitado de la gente debe tener acceso a este sitio, por supuesto con un número limitado de llaves. Algunos lugares tienen realmente protectores de seguridad dejaron a gente en las salas de ordenadores para el acceso seguro garantizado.

Si tus datos son sensibles, estar seguro de verificar que no hay métodos alternativos para conseguir en el cuarto. Esto incluye llaves de repuesto ocultadas en un lugar sin garantía, boquetes en los pisos levantados que van más allá del punto de acceso bloqueado, y el espacio sobre los techos.

     ejemplo:

• El modo texto ofrece 6 consolas virtuales a las que se puede acceder mediante las combinaciones de teclas Alt-F1 a Alt-F6. La séptima consola está reservada para X11. Modificando el archivo /etc/inittab se puede disponer de más o menos consolas. Si estando en X11 desea trabajar en una consola virtual sin cerrar X11, pulse las combinaciones Ctrl-Alt-F1 a Ctrl-Alt-F6. Para volver a X11, pulse Alt-F7.
• Las consolas son ventanas en donde nos permiten trabajar, pero darle seguridad al usuario root debe restringir las consolas donde el usuario root puede ingresar, de esta forma que continuación detallamos:
• vi /etc/securetty
• Seguidamente desactivar con el michi (#) al inicio de la consola por ejemplo a la consola que se quiera desactivar:
• #tty1 --- esta consola esta desactivada
• tty2 --- esta consola esta activa
• #tty3 –esta otra se encuentra desactivada

• Seguridad de datos

Las compañías que valoran sus datos necesitan un esquema de reserva detallado de la recuperación. Esto incluye en las reservas del sitio para menos cantidad abajo - de tiempo, una copia de estos datos del sitio en caso de desastres de la sala de ordenadores, así como planes de contingencia en lugar. Desafortunadamente, una manera fácil de conseguir el acceso a datos de las compañías es acceder a las cintas de reserva y al listado sensible. Por lo tanto, toda la información sensible se debe almacenar en gabinetes bloqueados. Las cintas de reserva enviadas de sitio deben estar en envases bloqueados. El viejos listado y cintas sensibles deben ser destruidos.

Para proteger contra daño de la computadora contra interrupciones de la energía (y puntos), estar seguro de tener tus computadoras en una UPS. Esto proporciona energía constante, protege contra interrupciones, así como protege la computadora contra puntos de la energía. Idealmente, debe haber un generador de reserva para los sistemas de producción. Para los sistemas del non-production, debe haber una manera automática a la parada la computadora si la energía ha cambiado a la UPS para más el de 1/2 el tiempo que la UPS se clasifica para proveer.

Para evitar el snooping, asegurar los cables de la red de la exposición.











3. Conclusiones

En la actualidad la mayoría de los incidentes de seguridad en los que hay equipos Unix involucrados, no tienen como fin la manipulación o acceso a la información contenida en estos sistemas, sino que son escogidos aleatoriamente, sin embargo es posible que en el futuro los ataques sean más dirigidos hacia intereses concretos, aunque siempre usando datos vulnerables Por lo general es posible averiguar con bastante exactitud cómo se produjo el ataque y las acciones que realizó el atacante en el equipo, aunque muchas veces el coste en tiempo que requiere el análisis del equipo hacen que los sistemas sean reinstalados sin averiguar que sucedió normalmente. Los equipos atacados suelen ser sistemas mal administrados donde hay funcionando servicios que no son necesarios y que están instalados con la configuración por defecto del equipo. Los responsables de estos equipos no suelen actualizar los paquetes instalados en los equipos, lo que provoca que sean vulnerables a equipos desde el exterior. Muchas veces los equipos son reinstalados con versiones vulnerables del sistema operativo, empleando una copia en CDROM, y no son actualizados convenientes, permitiendo que los atacantes pueden volver a entrar en el equipo en poco tiempo,.


4. Referencias

http://www.seguridad_linux\comodeterminar.htm http://www.seguridad unix\Seguridad en UNIX1.htm http://www.unix\Seguridad del Sistema de Archivos - Permisos.htm http://www.seguridad unix\Seguridad del Unix.htm http://www.unix\Web de es_comp_os_linux_ glosario de Linux.htm Guia.de.seguridad.del.admin.de.Linux.pdf seguridad.pdf seguridad_recomendaciones.pdf

Obtenido de "http://es.wikipedia.org../../../s/e/g/Seguridad_Interna_del_Sistema_Unix_6b28.html"
Static Wikipedia 2008 (no images)

aa - ab - af - ak - als - am - an - ang - ar - arc - as - ast - av - ay - az - ba - bar - bat_smg - bcl - be - be_x_old - bg - bh - bi - bm - bn - bo - bpy - br - bs - bug - bxr - ca - cbk_zam - cdo - ce - ceb - ch - cho - chr - chy - co - cr - crh - cs - csb - cu - cv - cy - da - de - diq - dsb - dv - dz - ee - el - eml - en - eo - es - et - eu - ext - fa - ff - fi - fiu_vro - fj - fo - fr - frp - fur - fy - ga - gan - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - hi - hif - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - ja - jbo - jv - ka - kaa - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mdf - mg - mh - mi - mk - ml - mn - mo - mr - mt - mus - my - myv - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nl - nn - no - nov - nrm - nv - ny - oc - om - or - os - pa - pag - pam - pap - pdc - pi - pih - pl - pms - ps - pt - qu - quality - rm - rmy - rn - ro - roa_rup - roa_tara - ru - rw - sa - sah - sc - scn - sco - sd - se - sg - sh - si - simple - sk - sl - sm - sn - so - sr - srn - ss - st - stq - su - sv - sw - szl - ta - te - tet - tg - th - ti - tk - tl - tlh - tn - to - tpi - tr - ts - tt - tum - tw - ty - udm - ug - uk - ur - uz - ve - vec - vi - vls - vo - wa - war - wo - wuu - xal - xh - yi - yo - za - zea - zh - zh_classical - zh_min_nan - zh_yue - zu -

Static Wikipedia 2007 (no images)

aa - ab - af - ak - als - am - an - ang - ar - arc - as - ast - av - ay - az - ba - bar - bat_smg - bcl - be - be_x_old - bg - bh - bi - bm - bn - bo - bpy - br - bs - bug - bxr - ca - cbk_zam - cdo - ce - ceb - ch - cho - chr - chy - co - cr - crh - cs - csb - cu - cv - cy - da - de - diq - dsb - dv - dz - ee - el - eml - en - eo - es - et - eu - ext - fa - ff - fi - fiu_vro - fj - fo - fr - frp - fur - fy - ga - gan - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - hi - hif - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - ja - jbo - jv - ka - kaa - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mdf - mg - mh - mi - mk - ml - mn - mo - mr - mt - mus - my - myv - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nl - nn - no - nov - nrm - nv - ny - oc - om - or - os - pa - pag - pam - pap - pdc - pi - pih - pl - pms - ps - pt - qu - quality - rm - rmy - rn - ro - roa_rup - roa_tara - ru - rw - sa - sah - sc - scn - sco - sd - se - sg - sh - si - simple - sk - sl - sm - sn - so - sr - srn - ss - st - stq - su - sv - sw - szl - ta - te - tet - tg - th - ti - tk - tl - tlh - tn - to - tpi - tr - ts - tt - tum - tw - ty - udm - ug - uk - ur - uz - ve - vec - vi - vls - vo - wa - war - wo - wuu - xal - xh - yi - yo - za - zea - zh - zh_classical - zh_min_nan - zh_yue - zu -

Static Wikipedia 2006 (no images)

aa - ab - af - ak - als - am - an - ang - ar - arc - as - ast - av - ay - az - ba - bar - bat_smg - bcl - be - be_x_old - bg - bh - bi - bm - bn - bo - bpy - br - bs - bug - bxr - ca - cbk_zam - cdo - ce - ceb - ch - cho - chr - chy - co - cr - crh - cs - csb - cu - cv - cy - da - de - diq - dsb - dv - dz - ee - el - eml - eo - es - et - eu - ext - fa - ff - fi - fiu_vro - fj - fo - fr - frp - fur - fy - ga - gan - gd - gl - glk - gn - got - gu - gv - ha - hak - haw - he - hi - hif - ho - hr - hsb - ht - hu - hy - hz - ia - id - ie - ig - ii - ik - ilo - io - is - it - iu - ja - jbo - jv - ka - kaa - kab - kg - ki - kj - kk - kl - km - kn - ko - kr - ks - ksh - ku - kv - kw - ky - la - lad - lb - lbe - lg - li - lij - lmo - ln - lo - lt - lv - map_bms - mdf - mg - mh - mi - mk - ml - mn - mo - mr - mt - mus - my - myv - mzn - na - nah - nap - nds - nds_nl - ne - new - ng - nl - nn - no - nov - nrm - nv - ny - oc - om - or - os - pa - pag - pam - pap - pdc - pi - pih - pl - pms - ps - pt - qu - quality - rm - rmy - rn - ro - roa_rup - roa_tara - ru - rw - sa - sah - sc - scn - sco - sd - se - sg - sh - si - simple - sk - sl - sm - sn - so - sr - srn - ss - st - stq - su - sv - sw - szl - ta - te - tet - tg - th - ti - tk - tl - tlh - tn - to - tpi - tr - ts - tt - tum - tw - ty - udm - ug - uk - ur - uz - ve - vec - vi - vls - vo - wa - war - wo - wuu - xal - xh - yi - yo - za - zea - zh - zh_classical - zh_min_nan - zh_yue - zu -

Sub-domains

CDRoms - Magnatune - Librivox - Liber Liber - Encyclopaedia Britannica - Project Gutenberg - Wikipedia 2008 - Wikipedia 2007 - Wikipedia 2006 -

Other Domains

https://www.classicistranieri.it - https://www.ebooksgratis.com - https://www.gutenbergaustralia.com - https://www.englishwikipedia.com - https://www.wikipediazim.com - https://www.wikisourcezim.com - https://www.projectgutenberg.net - https://www.projectgutenberg.es - https://www.radioascolto.com - https://www.debitoformtivo.it - https://www.wikipediaforschools.org - https://www.projectgutenbergzim.com