210 likes | 374 Views
Administración de sistemas de archivos. Principios de seguridad en Linux. Universidad Tecnológica de Puebla. 14/09/11. Principios de seguridad en Linux. 1. Sistemas de archivos. 14/09/11. Principios de seguridad en Linux. 2. 1 Sistemas de archivos.
E N D
Administración de sistemas de archivos Principios de seguridad en Linux Universidad Tecnológica de Puebla 14/09/11 Principios de seguridad en Linux 1
Sistemas de archivos 14/09/11 Principios de seguridad en Linux 2
1 Sistemas de archivos • El sistema de archivo representa la primera línea básica de defensa. • Una norma básica de seguridad radica en la asignación a cada usuario sólo de los permisos necesarios para poder cubrir las necesidades de su trabajo sin poner en riesgo el trabajo de los demás. 14/09/11 Principios de seguridad en Linux 3
1 Sistemas de archivos • Riesgos • Dentro del sistema Linux todo son archivos: desde la memoria física del equipo, hasta todos los periféricos • Un simple error en un permiso puede permitir a un usuario modificar todo el disco duro, o leer los datos tecleados desde una Terminal etc. 14/09/11 Principios de seguridad en Linux 4
1 Sistemas de archivos • El sistema de archivos es la parte del núcleo (Kernel) mas visible por los usuarios; se encarga de abstraer propiedades físicas de los diferentes dispositivos para proporcionar una interfaz única de almacenamiento: el archivo. • Cada sistema Linux tiene su sistema de archivos nativo. (ejemplo ext4, raiserFS, etc.) 14/09/11 Principios de seguridad en Linux 5
1 Sistemas de archivos • Un primer criterio para mantener un sistema seguro es una correcta distribución del espacio de almacenamiento. • Esto limita el riesgo de que el deterioro de una partición afecte a todo el sistema. La pérdida se limitaría al contenido de esa partición. 14/09/11 Principios de seguridad en Linux 6
1 Sistemas de archivos • Tamaño de las particiones • No hay unas normas generales aplicables; el uso al que vaya destinado el sistema y la experiencia son las bases de la decisión adecuada, aunque por lo general se recomienda: • Si el sistema va a dar servicio a múltiples usuarios que requieren almacenamiento para sus datos es conveniente que el directorio /home tenga su propia partición. • Si el equipo va a ser un servidor el directorio /var o incluso /var/spool deberían tener su propia partición. 14/09/11 Principios de seguridad en Linux 7
1 Sistemas de archivos • Tamaño de las particiones (continuación) • Debe dimensionar cuidadosamente la partición raíz. • El directorio /usr/local contiene los programas compilados e instalados por el administrador. Resulta conveniente usar una partición propia para proteger estos programas personalizados de futuras actualizaciones del sistema. Este criterio también se puede aplicar al directorio /opt. 14/09/11 Principios de seguridad en Linux 8
1 Sistemas de archivos • Montaje de las particiones • Permita los mínimos privilegios en las opciones de montado de las particiones • Noexec donde sea posible • Nodev en todas las particiones excepto en la raiz y en las particiones enjauladas (chroot) • Nosetuid donde sea posible excepto en la raiz 14/09/11 Principios de seguridad en Linux 9
1 Sistemas de archivos • Montaje de las particiones • auto - Mount automatically at boot, or when the command mount -a is issued. • noauto - Mount only when you tell it to. • exec - Allow execution of binaries on the filesystem. • noexec - Disallow execution of binaries on the filesystem. • ro - Mount the filesystem read-only. • rw - Mount the filesystem read-write. • nodev - Don't interpret block special devices on the filesystem. 14/09/11 Principios de seguridad en Linux 10
1 Sistemas de archivos • Montaje de las particiones • suid - Allow the operation of suid, and sgid bits. They are mostly used to allow users on a computer system to execute binary executables with temporarily elevated privileges in order to perform a specific task. • nosuid - Block the operation of suid, and sgid bits. • defaults - the default mount options for the filesystem to be used. The default options for ext3 are: rw, suid, dev, exec, auto, nouser, async 14/09/11 Principios de seguridad en Linux 11
1 Sistemas de archivos • Un ejemplo de las banderas de montaje • # <file system> <mount point> <type> <options> <dump> <pass> • proc /proc proc defaults 0 0 • /dev/sda2 / ext3 errors=remount-ro 0 1 • /dev/sda1 /boot ext3 defaults,nosuid,noexec,nodev 0 2 • /dev/sda5 /home ext3 defaults,nosuid,nodev 0 2 • /dev/sda11 /opt ext3 defaults 0 2 • /dev/sda9 /tmp ext3 defaults,bind,nosuid,noexec,nodev 0 2 • /dev/sda6 /usr ext3 defaults,ro,nodev 0 2 • /dev/sda10 /usr/local ext3 defaults 0 2 • /dev/sda7 /var ext3 defaults,nosuid 0 2 • /dev/sda8 /var/log ext3 defaults,nosuid,noexec,nodev 0 2 14/09/11 Principios de seguridad en Linux 12
1.1 Protección de archivos • Permisos de un archivo • Los permisos de cada archivo son la protección mas básica de estos objetos del sistema operativo; definen quien puede acceder a cada uno de ellos, y de que forma puede hacerlo. Cuando hacemos un ls -l podemos ver sus permisos junto al tipo de archivo correspondiente, en la primera columna de cada línea: user:~# ls -l texto.txt -rw-r--r-- 1 user electric 512 Aug 3 2011 texto.txt 14/09/11 Principios de seguridad en Linux 13
1.1 Protección de archivos • Permisos de un archivo (continuación) • Propiedad: • Qué usuario y grupo posee el control de los permisos del i-nodo. Se almacenan como dos valores numéricos, el uid (user id) y gid (group id). • Permisos: • Bits individuales que definen el acceso a un Archivo o directorio. Los permisos para directorio tienen un sentido diferente a los permisos para Archivos. Más abajo se explican algunas diferencias. 14/09/11 Principios de seguridad en Linux 14
1.1 Protección de archivos • Permisos de un archivo (continuación) • Lectura (r): • Archivo: Poder acceder a los contenidos de un Archivo • Directorio: Poder leer un directorio, ver qué Archivos contiene • Escritura (w): • Archivo: Poder modificar o añadir contenido a un Archivo • Directorio: Poder borrar o mover Archivos en un directorio 14/09/11 Principios de seguridad en Linux 15
1.1 Protección de archivos • Permisos de un archivo (continuación) • Ejecución(x): • Archivo: Poder ejecutar un programa binario o guión de shell • Directorio: Poder entrar en un directorio 14/09/11 Principios de seguridad en Linux 16
1.1 Protección de archivos • Permisos de un archivo (continuación) • Adicionalmente existe los “sticky bits” para el SUID, SGID estos nos conceden permisos especiales. • El SUID se muestra como una s en la columna de ejecución de propietario, y nos permite ejecutar ese archivo como el propietario del mismo. • El SGID aparece en la columna de ejecución del grupo, y nos permite ejecutar ese archivo como el parte del grupo al cual pertenece el mismo • ls -lah /usr/bin/passwd • -rwsr-xr-x 1 root root 31K 2011-10-14 10:11 /usr/bin/passwd 14/09/11 Principios de seguridad en Linux 17
1.1 Protección de archivos • Permisos de un archivo (continuación) • Atributos de un archivo • En el sistema de archivos de Linux existen ciertos atributos para los archivos que pueden ayudar a incrementar la seguridad de un sistema. Estos atributos son: 14/09/11 Principios de seguridad en Linux 18
1.1 Protección de archivos 14/09/11 Principios de seguridad en Linux 19
1.2 Listas de control de acceso • Listas de control de acceso (ACLs Access Control Lists) • Las ACL proveen de un nivel adicional de seguridad a los archivos extendiendo el clásico esquema de permisos en Unix • Las ACLs van a permiten asignar permisos a usuarios o grupos concretos; por ejemplo, se pueden otorgar ciertos permisos a dos usuarios sobre unos archivos sin necesidad de incluirlos en el mismo grupo. • No todos los sistemas de archivos las soportan. • Las banderas de montaje se deben cambiar para poder usarlas. 14/09/11 Principios de seguridad en Linux 20
1.3 Almacenamiento seguro • Cifrado de archivos: • GnuPG: Gnu Privacy Guard • TCFS: Transparent Cryptographic File System • Cryptographic File System CFS • TrueCrypt • OpenSSL • EncFS • Cryptoloop • Loop-AES • Crypto-FS 14/09/11 Principios de seguridad en Linux 21