Ingeniera en Sistemas Computacionales y Administrativos 8 Sem PRACTICAS DE SISTEMAS OPERATIVOS II Practica No.

7: Seguridad en Linux SEMESTRE AGOSTO DICIEMBRE 2012

El objetivo de esta prctica es dar a conocer algunos de los mecanismos para asegurar un sistema Linux. Root es la cuenta de administrador del sistema, que posee todos los permisos y derechos. Dicha cuenta no se debe utilizar nunca para fines personales, salvo que sea absolutamente necesario, como por ejemplo, durante una situacin de restablecimiento. Esta restriccin se debe a varios motivos. En primer lugar, como raz tiene poder absoluto. Tiene todos los permisos posibles sobre los archivos y ninguna restriccin de acceso; puede cambiar cualquier cosa en cualquier momento y lugar. Este poder es muy til, pero si se utiliza indiscriminadamente, se pueden provocar de forma involuntaria daos irreparables. Puede abrir el sistema a incalculables amenazas. Por ejemplo, al navegar en internet, si el explorador procesa un malintencionado subprograma de java, dicho subprograma puede heredar sus privilegios de acceso y usarlos para atacar el sistema.

En esta prctica veremos la manera de crear y administrar cuentas, as como la asignacin de permisos a usuarios propietarios empleando el comando chown.

1. Trata de agregar un nuevo usuario, usando el comando adduser y presiona ENTER 2. Debido a la falta de privilegios, con el usuario que estas accediendo al sistema, es necesario cambiar a modo administrador utilizando la cuenta de superusuario que en Linux llamamos ROOT. Para cambiar al modo privilegiado teclea SUDO SU <ENTER>a Si observas el prompt en la Shell ha cambiado por #, esto indica que estas en modo administrador (En modo usuario aparece $) 3. Vuelve a teclear adduser <NOMBRE DEL USUARIO>

4. Teclea cat /etc/passwd para ver que el usuario se ha creado Analizando el archivo passwd observamos los siguientes datos: root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh

El separador de campos es : y existen 7 campos en cada lnea los cuales son: 1. El nombre del usuario 2. El Password del usuario (Que por seguridad no se almacena en este archivo) 3. El identificador numrico del usuario (user id o uid) 4. El grupo de usuarios al que pertenece el usuario (group id o gid) 5. El nombre completo del usuario 6. Su directorio home 7. El programa a ejecutar cuando el usuario entre al sistema. 5. Si deseas cambiar la contrasea usas la instruccin passwd <NOMBRE DEL USUARIO A CAMBIAR LA CONTRASEA> 6. Para regresar al modo normal de usuario teclea CTRL + D o bien, exit y ENTER 7. Para poder eliminar a un usuario del sistema, tendremos que estar loggeados en modo root, y habremos de realizarlo en dos pasos: a. Eliminar su entrada en el archivo passwd i. Posicionarse en el directorio /etc mediante cd /etc ii. Teclear vipw para entrar al modo edicin de este archivo (es importante tener cuidado con este archivo, ya que eliminar registros o realizar modificaciones errneas puede traer otros problemas a futuro) iii. Presiona CTRL F para ir al final del archivo, CTRL F desplazamie:wnto por pginas, importante presionarlo las veces que sea necesario hasta que estemos al final iv. Presiona doble d (dd) para eliminar la ltima lnea que debe de ser el usuario que acabas de crear. v. Para salir, presiona ESC luego :wq para salir y guardar los cambios b. Eliminar la carpeta o directorio /home/usuario i. RM -R /HOME/USUARIO 8. Tambin a travs de comandos podemos eliminar un usuario
Si quisiramos borrar el usuario y su directorio: userdel -r nombre-de-usuario Si slo quisiramos borrar el usuario pero no su directorio: userdel nombre-de-usuario

9. Presiona CTRL D para regresar al usuario lubuntu 10. Trata de entrar con el usuario que habamos eliminado, usando la instruccin sudo su <nombre del usuario eliminado >

SI SE VA A ELIMINAR UN USUARIO ES CONVENIENTE HACER UNA COPIA DE SEGURIDAD ANTES DE REALIZAR ESTE PROCESO PARA EVITAR RECLAMOS O PROBLEMAS FUTUROS 11. Enseguida vamos a crear grupos, pero antes, vamos a visualizar el archivo group ubicado en el directorio ETC

El archivo se compone de registros de grupos. Cada lnea almacena un registro, cada registro se divide en cuatro campos delimitados por dos puntos: Nombre del grupo Password del grupo ID del grupo Usuarios del grupo

12. Crear 3 nuevos usuarios: psicologia medicinaint prueba crear un directorio nombrado clnica y dentro de l, uno llamado datosclinicom 13. Posteriormente crear 3 nuevos grupos de la siguiente manera a. b. c. d. e. f. g. Posicionarnos en directorio /etc con la cuenta de root teclear los siguiente vi group Presionar ctrl - f para ir al final del archivo con las flechas de desplazamiento colocarse al final de la linea presionar a minuscula dar ENTER Teclear lo siguiente

doctores::510:psicologia, medicinaint ENTER presionamos ESC :wq ENTER para salir Para agregar un nuevo grupo, es necesario modificar el archivo group, tal como lo hicimos en el apartado anterior, o bien usar la instruccin addgroup <nombre del grupo > cabe mencionar que para agregar usuarios al grupo tendremos que editar el archivo group

14. Para asignar un directorio y sus archivos a un grupo determinado, utilizaremos el comando chown, es decir, especificaremos quien ser el propietario de un archivo o directorio a travs del comando chown 15. Posicionarnos en raiz 16. Ingresar como usuario root 17. Crea el directorio /clinica/datosclinicos desde directorio raiz 18. Cd .. Hasta llegar a la raiz 19. Mkdir clinica Mkdir datosclinicos 20. Crear algunos archivos dentro de /clinica/datosclinicos 21. Para definir que el usuario psicologia del grupo doctores es el propietario de los archivos emplearemos la siguiente instruccin: chown R psicologa:doctores /clnica (La letra R, debe ir en maysculas) 22. Teclear ls -l (situado en /etc , situado en clnica y clnica datos, para ver los permisos y el dueo del archivo) Si observas al aplicar chown sobre el directorio clnica, stos se heredan a los hijos de esta carpeta

23. Una vez que asignamos quien ser el propietario de esa carpeta, cambiaremos los permisos para que solo tengan derecho de Lectura y escritura tanto los usuarios, como el grupo, y el resto de los usuarios no tenga acceso. Esto indica que solo las personas que estn en el grupo doctores o el usuario psicologa tendr acceso a estas carpetas. Tecleamos cd /CLINICA/DATOSCLINICOS 24. Luego dentro de datosclinicos tecleamos la instruccin CHMOD 660 * 25. Tecleamos ls - l para verificar el cambio de permisos sobre los archivos contenidos en este directorio (otros usuarios deber estar en blanco) 26. Como comprobamos Usaremos uno de los otros usuarios que no pertenecen al grupo, especificamos sudo su prueba ENTER 27. Tecleamos cat <nombre de un archivo que se encuentre dentro de datosclinicos> Deber marcar acceso denegado pues para otros usuarios que no formen parte del grupo o sean propietarios no podrn visualizar el archivo.