Sesion 2

Universidad Continental 02 de Marzo de 2013
1
GESTION DE TIC Y SEGURIDAD DE LA INFORMACION
GESTON DE TC
Y SEGURDAD DE LA
NFORMACON
ng. Maurice Frayssinet Delgado
Semana 2
SISTEMA
OPERATIVO LINUX
Temario
Unidad 1 - ntroduccin al Linux
Unidad 2 - Administracin Linux
Unidad 3 - Manejo de servicios
Unidad 4 - Configuracin Red
Laboratorios de Seguridad
2
ntroduccin al Linux
Unidad
1
Fundamentos del Software Libre
El Software Libre (Free Software) es el resultado
de muchos esfuerzos en comn.
Qu es el sof!a"e#
Es una produccin inmaterial del cerebro humano.
ndice Tema
Fundamentos del Software Libre
Qu es el $%di&o'fuene#
Lo que escribe el programador.
Qu es el $o()ilado"#
Es el mtodo por el cual las instrucciones del
cdigo-fuente son convertidas en cdigo-
mquina.
Qu es el $%di&o'o*+eo#
Es el resultado de la compilacin, se le conoce
tambin como archivos ejecutables o binarios.
3
Libre Distribucin: GNU
http://www.gnu.org
Richard Matthew Stallman
El Proyecto GNU comenz en 1984 con el propsito
de desarrollar un sistema operativo completo tipo
Unix el cual es software libre: el sistema GNU.
GNU es un acrnimo recursivo para "GNU No es
Unix; y se pronuncia "guh-NEW
Free Software Foundation
GNU General Public License
http://www.gnu.org/licenses
Libertades:
Sof!a"e Li*"e no si&nifi$a no $o(e"$ial
4
Este termino se empez a usar en 1998 por algunos
usuarios de la comunidad del software libre, tratando
de usarlo como reemplazo del ambiguo nombre
original.
Este software permite que su cdigo fuente este
disponible pblicamente, aunque los trminos de
licenciamiento especficos varan respecto a lo que
se puede hacer con este cdigo fuente.
Open Source
(Cdigo Abierto)
ndice Tema
OS Certified Open Source Software
Open Source License
http://www.opensource.org/licenses/
Condiciones
5
Condiciones
Sof!a"e Li*"e , C%di&o A*ie"o
Sistemas Operativos
SO comerciales
Windows
Novell NetWare
Unix
SO libres
BSD (NetBSD, FreeBSD, OpenBSD)
Linux
ndice Tema
6
C"onolo&-a
Qu es GNU/Linux?
Linux es un sistema operativo diseado
especialmente para trabajar en red. Se
puede decir que es un perfecto clon de la
plataforma UNX.
Es un sistema multiusuario, multitarea, y
trabaja en 32 o 64 bits; escrito inicialmente
por Linus Torvalds.
ndice Tema
Caractersticas
Multitarea
Se pueden ejecutar varios programas a la vez
Multiusuario
Varios usuarios en sesin simultneamente en el
sistema
Usuarios protegidos unos de otros
Acceso a todo el sistema
Posible consultar cdigo para encontrar errores
A nivel acadmico es til contar con los fuentes
7
Facilidad de instalacin
Ms fcil de instalar que otros sistemas
operativos
De uso libre (free)
La licencia de GNU/Linux no requiere pagar
para ser usado
Caractersticas
Qu es el Kernel?
www.kernel.org
Qu es el Kernel?
El kernel (ncleo): es el sistema operativo en s.
Linux es el propio kernel.
Es el encargado de hacer transparente a las
aplicaciones el hardware de la mquina
subyacente. Es el punto de comunicacin
entre la parte fsica y la parte lgica.
El 98% del cdigo est escrito en C y el 2%
restante es ensamblador. ste ltimo es
dependiente de la arquitectura.
Administra los dispositivos, memoria,
procesos y servicios.
Programa y ejecuta todos los comandos.
8
Qu es el Kernel?
Qu son los mdulos?
Son partes del kernel que no son compiladas dentro del
bloque que supone ste, y que no estn cargados
constantemente en memoria, sino solo cuando se van a
utilizar. stos pueden ser cdigo de red, drivers
diversos, soporte de sistemas de archivos, etc.
Cuando se requiere tener el kernel totalmente
optimizado para nuestra mquina, dando soporte a todo
el hardware, protocolos de red, etc. es necesaria su
compilacin.
9
Qu es el Shell?
Qu es el Shell?
Es la parte externa del sistema, y representa un
interfaz de comunicacin para el usuario con ste.
Es el primer proceso arrancado por el usuario al
entrar al sistema y es el encargado de interpretar
los comandos.
El Shell es un proceso hijo directo de init (pid=1)
que funciona en bucle infinito generando procesos
hijo que se encargan de pedir la ejecucin de los
programas (comandos), solicitados por el usuario, al
sistema operativo.
Tipos de Shell
BOURNE SHELL - (sh)
C-SHELL -(csh)
BOURNE AGAN SHELL - (bash)
KORN SHELL - (ksh)
10
Distribucin GNU/Linux
GNU/Linux + Aplicaciones
ndice Tema
Distribuciones GNU/Linux
GNU/Linux + Aplicaciones
Distribuciones GNU/Linux
Como parte del beneficio de la libertad de
distribucin, algunas compaas y asociaciones han
desarrollado su propia distribucin de Linux
Algunas distribuciones son realizadas para algunas
plataformas especficas: ntel, Alpha y SPARC
Las distribuciones se diferencian por la composicin
de:
la .e"si%n del n/$leo del sise(a o)e"ai.o
01e"nel2
la $o(*ina$i%n de uile"-as 3ue la a$o()a4a
11
dentificndose
ndice
dentificndose
Lo&in5 Nombre por el que es identificado por el
sistema.
6ass!o"d5 Contrasea del usuario.
12
Consolas Virtuales
[Ctrl] + [Alt] + [F7] X-Window
Combinacin de teclas Entorno Grfico
[Alt] + [F6] CV 6
[Alt] + [F5] CV 5
[Alt] + [F4] CV 4
[Alt] + [F3] CV 3
[Alt] + [F2] CV 2
[Alt] + [F1] CV 1
Combinacin de teclas No. Consola virtual
La consola del sistema es el monitor y el teclado
conectado directamente al sistema.
Unidad
7
Administracin de Linux
Co(ando5 Herramienta que permite realizar una
determinada accin.
Sina8is5
comando [modificador] <nombre> [<nombre>...]
comando [modificador] <ruta_origen> <ruta_destino>
Entendamos como modificador las opciones con las
que el comando se va ejecutar.
Comandos bsicos
ndice Tema
13
, Muestra la consola virtual activa.
f"ee Muestra informacin de la memoria.
Comandos bsicos
dae devuelve la hora y fecha del sistema.
date [MMDDhhmm[YY].ss]
date s YYYY-MM-DD
date s hh:mm:ss
Comandos bsicos
!9o lista los usuarios que estn utilizando la
mquina en ese momento.
!9oa(i me dice que usuario soy.
Comandos bsicos
14
una(e visualiza informacin del sistema.
Modificadores:
'" Versin del ncleo
'( nformacin del tipo de equipo
's Nombre del sistema operativo
'a nformacin completa del equipo
Comandos bsicos
$lea" limpia la pantalla de la consola.
e$9o imprime un determinado texto en la
terminal. El comando echo es de
gran utilidad en los archivos de
comandos.
Comandos bsicos
9iso", devuelve el historial de
comandos ejecutados.
Comandos bsicos
15
Es prcticamente imposible recordar todos los
comandos y las opciones que necesita para
mantener el sistema funcionando.
Por estas razones, ser capaz de usar el manual en
lnea de UNX es una destreza crucial para
cualquier administrador de sistemas UNX.
Ayuda en lnea
ndice Tema
Ayuda en lnea
El manual Unix esta dividido en las siguientes
secciones:
Ayuda en lnea
16
6a&ina de (anual -)i$a
La seccin S,no)sis sintetiza el comando y
todas sus opciones
Los argumentos opcionales del comando son
indicados por corchetes.
ls [ -aAbcCdfFgiLmnopqrRstux1 ] [ file ...]
Esta sintaxis significa que ninguna de las
opciones del comando es obligatoria.
Ayuda en lnea
El comando es descrito en la seccin
Des$"i)ion.
Las opciones son todas descritas en la
seccin O)ions.
Los archivos usados por el comando (por
ejemplo, archivos de configuracin) son
listados en la seccin Files.
Ayuda en lnea
(an $o(ando muestra el manual del comando
que se le pasa por parmetro.
man man
Ejemplos
man mount
man -S 2 mount
man -a mount
Ayuda en lnea
17
$a :a"$9i.o; muestra el contenido de un
archivo sin formato todo de
golpe.
(o"e :a"$9i.o; muestra el contenido de un
archivo paginndolo.
Visualizacin de archivos
ndice
less :a"$9i.o; permite leer el archivo y
realizar bsquedas en el.
9ead :a"$9i.o; permite ver las primeras
lneas de un archivo.
ail :a"$9i.o; muestra las ultimas lneas del
contenido de un archivo.
Ejemplo:
tail f /var/log/messages
Muestra los ltimos sucesos registrados en el
archivo los "messages en tiempo real.
18
ngresando al Sistema
ndice Tema
Cada usuario debe poseer una cuenta (account) en el
sistema para poder acceder a un sistema GNU/Linux.
Dicha cuenta es creada por el administrador del sistema.
Una cuenta de usuario contiene:
Lo&in Na(e5 Nombre de acceso, este es el nombre
con el que el usuario es conocido en el sistema.
Cuentas de Usuario
ndice Tema
6ass!o"d5 Por seguridad cada usuario debe tener una
contrasea para poder acceder.
o Punto clave en la seguridad del sistema.
o Una buena contrasea:
No debe estar en un diccionario
No deben ser datos personales
Debe contener caracteres especiales y nmeros
Debe ser suficientemente larga
Debe ser fcil de recordar
Ejem.: ER<M<9&=$dE
Cuentas de Usuario
19
>o(e Di"e$o",5 Es el lugar en el sistema de
archivos del Linux donde el usuario puede guardar
sus archivos, crear y usar sus propios directorios.
Cuando un usuario ingresa al sistema este lo ubica
en su Home Directory.
S9ell5 ntrprete de comandos del usuario. Existen
varios tipos de Shell.
Cuentas de Usuario
En Linux cada cuenta se identifica por un nmero (UD).
Existen tres tipos de usuarios:
"oo (UD = 0)
Usuarios especiales (UD < 500)
Usuarios normales (UD > 500)
Tipos de Cuenta de
Usuario
ndice Tema
Tipos de Cuenta de
Usuario
Cuena del su)e"usua"io 0"oo2
Esta cuenta existe con la finalidad de permitir las
tareas de mantenimiento del sistema. El superusuario
tiene acceso a todo el sistema (modificar, crear y
borrar).
Funciones:
Responsable del correcto funcionamiento del sistema.
Determinar nombres de acceso (Login Names) y exigir el
uso de contraseas.
Adicionar o retirar usuarios.
Controla la cantidad de espacio utilizado por los archivos de
cada usuario.
20
Tipos de Cuenta de Usuario
Cuenas de Usua"ios Es)e$iales
Linux dispone de algunos usuarios por defecto:
No existen fsicamente
Razones de administracin
Nmeros UD bajos
*in 0UID?12
El propietario de muchos de los programas
ejecutables.
dae(on 0UID?72
El propietario de muchos de los demonios del
sistema.
Cuenas de Usua"ios No"(ales
Son los usuarios reales del sistema.
Suelen tener UD's altos (>500).
Suelen tener un grupo propio.
Disponen un directorio personal:
/home/nombre.
Tienen una configuracin individual.
Tipos de Cuenta de Usuario
Agregar un nuevo usuario
use"add no(*"e
adduse" no(*"e
Administrar Usuarios
ndice Tema
21
La informacin de las cuentas de usuario se encuentra
en el archivo:
@e$@)ass!d
Es un archivo tipo texto
Permiso de lectura para todos los usuarios.
Solo el superusuario puede escribir en l.
Ca()o Des$"i)$i%n
Nombre Nombre de usuario (max. 8 caracteres y sin
maysculas)
Contrasea requerimiento de contrasea
Vaco No tiene clave
* Cuenta deshabilitada
x Sistema shadow
ID Usuario (UID) nmero de usuario
ID grupo (GID) nmero de grupo principal
omentario! nformacin adicional
Nombre y apellidos
Telfono...
Directorio personal Usualmente /home/nombre
"hell! ntrprete de comandos
/bin/bash
22
Definir una contrasea para el nuevo usuario
)ass!d no(*"e
Bloquear la contrasea del usuario
)ass!d Al no(*"e
Desbloquear la contrasea del usuario
)ass!d Au no(*"e
Eliminar un usuario
use"del no(*"e
@e$@s9ado!
Contiene las contraseas cifradas
[root@CentOS ~]# cat /etc/shadow
root:$1$flW1$lfu3r0oQgfEinLqLt5Qm6/:12092:0:99999:7:::
bin:*:12092:0:99999:7:::
daemon:*:12092:0:99999:7:::
adm:*:12092:0:99999:7:::
sync:*:12092:0:99999:7:::
shutdown:*:12092:0:99999:7:::
ftp:*:12092:0:99999:7:::
nobody:*:12092:0:99999:7:::
apache:!!:12092:0:99999:7:::
named:!!:12092:0:99999:7:::
+ele"5B1BC.DFnd"EB87!O(GFsGaQ9YLNs9&G*>@517H=I5H5=====5D555
aldo5B1B&+M36J6&BKLHElG.DMKI,n9GCGICJR1517H=I5H5=====5D555
)$&ues5NN517H=I5H5=====5D555
9e"nan5B1BH1Os&LEuBAS!9(1O(<G@ae1$1I<)F<5171HO5H5=====5D555
Estructura del archivo:
23
Estructura del archivo /etc/shadow:
Ca()o Des$"i)$i%n
when_changed Da del ultimo cambio de la contrasea
min El mnimo numero de das permitidos entre
cambios de contrasea
max El mximo numero de das permitidos entre
cambios de contrasea
warn El numero de das antes en que el usuario es
alertado de un requerimiento de cambio de
contraseas
inactive El numero de das mas all de la fecha de
expiracin de la contrasea en que la cuenta
ser desactivada
expires La fecha en que la cuenta ser desactivada
A"$9i.o @e$@lo&in<defs
Permite definir algunos valores por defecto para diferentes
programas como useradd y expiracin de contraseas.
Ca(*ia" el s9ell )"edee"(inado
El shell predeterminado de un usuario se especifica en
el archivo @e$@)ass!d
El comando $9s9 puede ser usado para cambiar el shell
predeterminado para un usuario
24
Klo3uea" $uena de usua"io
[root@CentOS ~]# tail /etc/shadow
nobody:*:12092:0:99999:7:::
apache:!!:12092:0:99999:7:::
named:!!:12092:0:99999:7:::
jeler:$1$zv7FndrW$x2wOmG4sGaQhYLNshgZbH/:12098:0:99999:7:::
aldo:$1$gjMqPKPg$BV0ElZv76B8ynhGzZ8CKR1:12098:0:99999:7:::
pcguest:!!:12098:0:99999:7:::
hernan5NN$1$0k5sgLEu$ASwhmkOm.G/taekc1.p4.:12105:0:99999:7:::
Estos valores son manipulados con el comando
$9a&e, el cual usa la siguiente sintaxis:
$9a&e Po)$ionesQ usua"io
$9a&e Po)$ionesQ usua"io
25
Cuentas de Grupo
Para poder realizar una administracin mas sencilla se
utilizan las cuentas de grupos.
Se utilizan para agrupar
Usuarios
Archivos
Recursos
Gran recurso para la administracin
Permiten
Controlar permisos globalmente
Compartir directorios
Crear reas de intercambio
ndice
Para crear un grupo solo tenemos que ejecutar la
siguiente sentencia:
&"ou)add no(*"eR&"u)o
La informacin de las cuentas de grupo se encuentra
en el archivo:
@e$@&"ou)
Cuentas de Grupo
Estructura del archivo:
Cuentas de Grupo
26
Para agregar miembros al grupo solo se tiene que editar el
archivo @e$@&"ou)
Cuentas de Grupo
Para incluir a un usuario en un grupo:
&)ass!d 'a :usua"io; :&"u)o;
Cuentas de Grupo
Para eliminar a un usuario de un grupo
&)ass!d 'd :usua"io; :&"u)o;
Listar los grupos en los que el usuario es miembro:
&"ou)s no(*"eRusua"io
Para eliminar una cuenta de grupo
&"ou)del no(*"eR&"u)o
Cuentas de Grupo
27
Manejo de Servicios
Unidad
S
NCAR SERVCOS
Forma Manual
etc/init.d/servicio start|stop
Comando Service
# service kudzu stop #Detiene la ejecucin del servicio 'kudzu.
# service named start #nvoca el servidor de resolucin de nombres
para su inicio
# service squid restart #Apaga completamente el servicio squid, para
posteriormente volver a levantarlo
# service httpd reload #Recarga la configuracin del servidor web, sin
necesidad de apagarlo previamente
# service network status #Nos indica el estatus del servicio de red
# service status-all #Nos indica el estatus de todos los servicios
disponibles
chkconfig
El comando chkconfig tambin puede
usarse para activar o desactivar servicios.
Si utiliza el comando chkconfig --list, podr
ver una lista de los servicios del sistema y
si se han arrancado (on) o detenido (off)
en los niveles de ejecucin 0-6 (al final de
la lista, figura una seccin con los
servicios administrados por xinetd. Los
describiremos ms adelante en esta
seccin).
28
Configuracin Red
Unidad
F
Protocolo TCP/P
Es un protocolo de red que proporciona comunicacin a
travs de redes interconectadas construidas de equipos
con diversas arquitecturas de hardware y varios sistemas
operativos.
ndice Tema
Asignando direcciones P
Las direcciones P consisten de cuatro bytes, o
octetos, (32 bits) y es dividido en dos partes: una
direccin de red y una de nodo.
Los 3 rangos de nodos P que deben de ser
utilizados para configurar redes locales son:
1H<H<H<H ' 1H<7OO<7OO<7OO
1D7<1M<H<H ' 1D7<S1<7OO<7OO
1=7<1MI<H<H ' 1=7<1MI<7OO<7OO
ndice Tema
29
Direcciones P especiales
Broadcast 255.255.255.255
Referencia a direcci!n
"roadcast #ara toda a red
Una direcci!n de $ost con
todos os "its definidos en %
Referencia a red entera Una direcci!n de $ost con
todos os "its definidos en &
Referencia a e'(i#o oca)
reser*ada #ara oo+"ac+
%2,.&.&.%
Referencia de a r(ta
#redeterminada
Red &.&.&.&
Funcin Direcciones
if$onfi&
Comando para configurar y supervisar las interfaces
de red.
ifconfig <dispositivo> <ip> netmask <mascara>
Comprobacin:
ifconfig eth0
Configurar interface de red
ndice Tema
Su*ine"fa$es
- Una interfaz fsica y varias lgicas
- Varias direcciones sobre la misma interfaz
fsica
e9H
e9H5H
e9H51
30
Gae!a, )"edee"(inado
Sera un trabajo muy difcil tener que agregar rutas a
cada posible red de equipos destino. El truco se
llama ruta "predeterminada.
La idea de la ruta predeterminada simplemente es
permitirle decir "y todo lo dems debe ir por aqu."
route add default gw 192.168.1.1
Se".ido" DNS
DNS es ampliamente usado en nternet para traducir
nombres de host a direcciones P.
cat /etc/resolv.conf
nameserver DNS1
nameserver DNS2
@e$@"esol.<$onf
El archivo que indica la ubicacin de su servicio de
nombres.
domain: define dominio por defecto
nameserver: define la direccin P del servidor de
nombres (es posible tener ms de uno)
domain isil.pe
nameserver 8.8.8.8
nameserver 8.8.4.4
31
Archivo de configuracin de los
parmetros de red
Cliene D>C6
ndice Tema
Archivo de configuracin de los
parmetros de red
Asi&na$i%n de )a"T(e"os de "ed
Es la direccin fsica que una computadora
necesita para comunicarse con otra computadora
en una red.
Tambin se denomina Control de Acceso al Medio
(MAC).
Est asignado a la tarjeta adaptadora de red de
una computadora.
Corresponde a una o varias direcciones P que
estn vinculadas con una tarjeta adaptadora de red
de un computadora.
dentifica de forma nica una direccin de destino.
Direccin de hardware
ndice Tema
32
El Protocolo de Resolucin de Direcciones (ARP)
ayuda a obtener la direccin MAC de una estacin
mediante la conversin de una direccin P de un
a estacin a su correspondiente direccin MAC.
Usted puede visualizar, agregar o eliminar
informacin de una cach ARP mediante el
comando a").
La sintaxis del comando a") es:
a") Po)ionsQ
Direccin de hardware
)in&
Herramienta de diagnostico que verifica la
conectividad con otro host.
Supervisando la red
ndice Tema
"a$e"oue
Comando usado para localizar fallas remotas en la
red local.
Supervisando la red
33
9os
Comando usado para realizar consultas DNS
Supervisando la red
a")
Comando usado para manipular la cache ARP del
sistema
Supervisando la red
Nmero de puertos
La capa de transporte (TCP y UDP) proporcionan un
nivel adicional, llamado nmero de puertos; esto
debido a que el mecanismo de direcciones P es
insuficiente. Tanto TCP y UDP tienen un rango de 16
bits de nmero de puertos de modo que, por ejemplo
TCP puerto 62 y UDP puerto 62 son diferentes.
La nternet Numbers Authority (ANA) administra un
conjunto de convenciones que establecen la
asociacin entre servicios y puertos.
34
Archivo /etc/services
Nmero de puertos
nesa
Examina muchas de las tablas que el kernel involucra en
las conexiones de red.
Nmero de puertos
Nombres de Host
ndice
Todos los hosts en su red P son asignados a una
nica direccin de software llamada direccin P o
nternet.
Desde el punto de vista de un usuario, es conveniente
asociar un nombre a cada host o red.
En redes P hay tres mtodos comnmente usados
para asignar nombres de hosts a direcciones P:
Host Table
Domain Name System (DNS)
Network nformation Services (NS)
35
Tabla hosts
Una tabla hosts es un archivo ASC conteniendo los
nombres y direcciones de los sistemas que
comnmente accede.
/etc/hosts
127.0.0.1 localhost #loopback
132.132.87.176 argo
132.132.12.45 pacific pa
132.132.19.42 atlantic at atlan
132.132.787.7 indian in
Laboratorios
de
Seguridad
La" %. Monitoreo de trafico
36
Monitoreo de Trafico - PTraf
PTtraf es un programa basado en consola
que proporciona estadsticas de red. El
programa recolecta informacin de las
conexiones TCP, las estadsticas y
actividad de las interfaces, as como las
cadas de trfico TCP y UDP. Funciona en
sistemas operativos GNU/Linux.
PTraf
Adems de un men de opciones a pantalla completa, PTraf posee
las siguientes caractersticas:
Monitor de trfico P que muestra informacin del trfico de la
red.
Estadsticas generales de las nterfaces.
Mdulo de estadsticas de LAN que descubre host y muestra
datos sobre s actividad.
Monitor TCP, UDP que muestra la cuenta de los paquetes de
red para las conexiones de los puertos de aplicaciones.
Utiliza el "raw socket interface" que lleva el kernel permitiendo
ser usado por un amplio rango de "tarjetas de red" .
37
La" 2. /ire0a con Lin(1
38
Definicin de la Arquitectura
En la Figura se puede apreciar una
mquina firewall que consta de una
interface de red interna(eth1) que se
accede a la red local (LAN) y otra interface
de red externa (eth0) que permite salir a
nternet a travs de un router.
39
40
41
42
43
44
45
46
47
48
49
Terminado la configuracin de iptables en
nuestro servidor de seguridad firewall,
para que el fichero script firewall.sh se
ejecute automticamente cada vez que
reiniciamos nuestro sistema escribiremos
la secuencia de ejecucin en el fichero
script usado por el sistema llamado
/etc/rc.d/rc.local como se muestra:
Existe otra herramienta de iptables que
permiten guardar todas las reglas
habilitadas en nuestro firewall en un
fichero.
La" 2. Pro13 con Lin(1
50
51
52
53
54
55
56
57
58
59
Access.log
60
La" 4. Sistema 5etector de
Intr(sos
61
62
63
64
65
66
67
68
69

Sesion 2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Sesion 2

Uploaded by

Copyright:

Available Formats

Universidad Continental 02 de Marzo de 2013

You might also like