Seguridad bsica Linux.Seguridad bsica Linux.

Otoo 2015

Servicios (daemons).

Editar nombres de archivos en /etc/rc.d/rcn.d (n runlevel). Si el link comienza con K (kill) no arranca, con S (Start) si.

Service: Script guardado en /sbin, que llama servicios guardados en /etc/initd/.

#service servicio start|stop|restart|status.

Chkconfig renombra los links, en los directorios asociados a los runlevel.

#chkconfig --list servicio.#chkconfig --level nm servicio on|off. (n y m son runlevel)./etc/services

GRUB (Grand Unified Bootloader).

Red Hat inicia mdulos de kernel, antes de crear el sistema de archivos Initial ramdisk images (initrds).

/boot/grub/grub.conf

Configuracin global.

Stanzas.Title etiqueta : Etiqueta del SO. root (hd0,0) : Particin de arranque.

Nota: Grub no hace la misma referencia a las particiones, que el kernel. Grub cuenta de 0 y linux de 1

hda1 (hd0,0) sda1 Para grub sd = hdsdc3 (hd2,2)

Kernel: Imagen del kernel y directorio raz.Initrd: Initial Ramdisk para el kernel (debe ser igual).

Edicin de grub durante el booteo.

Al final de la lnea de kernel: 1 SO en runlevel 1, modo root (sin password) y shell bash.

Cambio de password de root Agujero seguridad.

Proteccin mediante password al editor inicial de grub.

Edicin de grub durante el booteo.

Password puede ser en texto plano o cifrada.

Hiddenmenupassword 1234password --md5 HASHtitle CentOS....

Obtener hash.#grub-md5-crypt

Conceptos de seguridad.

- Confiabilidad.- Confidencialidad.- Autenticacin.- Integridad.- No-Repudiacin.

SSH.

Conjunto de estndares y protocolos de red, que permiten establecer una comunicacin a travs de un canal seguro, entre un cliente local y un servidor remoto.

Utiliza una clave pblica cifrada para autenticar el servidor remoto y, opcionalmente, permitir al servidor remoto autenticar al usuario.

Provee confidencialidad e integridad en la transferencia de los datos utilizando criptografa y MAC (Message Authentication Codes). De modo predeterminado, escucha peticiones TCP por el puerto 22.

OpenSSH (Secure Shell).

Alternativa de cdigo abierto, con licencia BSD, hacia la implementacin propietaria y de cdigo cerrado, creado por Tatu Ylnen.

Se considera ms segura que su contraparte propietaria, por la constante auditora que se realiza sobre el cdigo fuente, la gran comunidad de desarrolladores. Incluye servicio y clientes, para los protocolos SFTP y SCP.

Bibliografa.Implementacin de servidores GNU/Linux Joel Barrios

Dueas. Capt 43-44.

El servidor se identifica con una llave de host nica. La 1 vez resultar desconocida al cliente.

Para conexiones posteriores, la llave del servidor se verifica con la guardada en el cliente. Si ya no coincide, el usuario debe eliminar la versin guardada localmente.

Clientes: #ssh p 2200 usuario@IP.

Proceso negociacin inicial.

- Intercambio de claves.- Determinacin del algoritmo de encriptacin de la clave pblica.- Determinacin del algoritmo de encriptacin simtrica.- Determinacin del algoritmo autenticacin de mensajes.- Determinacin del algoritmo de hash.

/etc/ssh/sshd_config

Lineas de inters.Port 54321: Puerto de escucha ListenAddress 1.2.3.4: IP escucha. Debe existir una IP

local con esa IP, sino el demonio no funciona.*Allowusers alumno pedrito: Restringe usuarios que

pueden iniciar sesin.*Allowusers alumno@1.1.1.1 pedrito@2.2.2.2: Restringe

por usuario e IP de origen.PermitRootLogin no: Usuario root no puede iniciar sesin.Banner /ruta/archivo.

A cierto intervalo, hay otro intercambio de claves Otros hash y nuevo secreto compartido. Si logran determinar las password, slo ser vlida por cierto perodo de tiempo.

Servidor indica al cliente los mtodos de autenticacin soportados. El cliente se autentica, con algn mtodo y se abren mltiples canales mediante multiplexin, con Control de flujo.

- Versin 1: Algoritmos patentados (algunos expirados), con huecos de seguridad (permite insercin de datos).

- Versin 2: Usada por OpenSSH. Algoritmo de intercambio de llaves mejorado. Compatibilidad con versin 1.

Netstat.

Bibliografa.Implementacin de servidores GNU/Linux Joel Barrios

Dueas. Capt 36.

# netstat putn# netstat -rn

Estados.

Ejemplo.

Preguntas ?

Pgina 1Pgina 2Pgina 3Pgina 4Pgina 5Pgina 6Pgina 7Pgina 8Pgina 9Pgina 10Pgina 11Pgina 12Pgina 13Pgina 14Pgina 15Pgina 16Pgina 17Pgina 18Pgina 19Pgina 20Pgina 21