UNIDAD V

SEGURIDAD DE

ARCHIVOS,

IMPRESORAS,

RESPALDOS

SEGURIDAD DE ARCHIVOS

Linux es un sistema operativo multiusuario, lo que significa que podemos tener

más de un usuario trabajando al mismo tiempo desde sus diferentes estaciones de trabajo.

A raíz de esto, el sistema debe proteger a unos usuarios frente a otros y a sí mismo.

En Linux se adopta como norma básica de seguridad, asignarle a cada uno de los

usuarios, sólo los permisos mínimos y necesarios para que este pueda realizar su trabajo,

sin comprometer el de los demás y la integridad del sistema.

La información de una organización es uno de los bienes más valiosos.

La seguridad de redes se hace cada vez más importante a medida que las redes se

hacen más grandes y complejas.

Las amenazas a los recursos de una organización pueden provenir de fuentes tanto

internas como externas.

El robo y la destrucción de la información así como la denegación de acceso a los

recursos son preocupaciones reales para los usuarios y administradores del sistema.

COMPONENTES DE POLÍTICA DE SEGURIDAD

El objetivo de cualquier sistema de información es asegurar que la información sea

precisa y esté disponible donde y cuando se la necesita. Una política abarcadora de

seguridad de los sistemas de información puede ayudar en esto. En una política de

seguridad abarcadora deben interactuar una cantidad de componentes. Estos componentes

se muestran en la siguiente gráfica:

FUNCIONALIDADES DE SEGURIDAD ESTÁNDAR DE UNIX

Cuentas de seguridad

de usuario y Seguridad

de archivos

Usuario y

contraseña.

Permisos a archivos.

Control de acceso

remoto

Iptables.

VPNs.

SSH.

Telnet, ftp.

Herramientas de

verificación de

seguridad

Nmap.

Nessus.

Wireshark.

Kali.

PERMISOS DEL SISTEMA DE ARCHIVOS

Clases de permisos.

Usuario (Propietario).

Grupo.

Otros (Público).

Tipos de permisos.

PERMISOS POR DEFECTO

Cuando un usuario accede al sistema, los archivos y directorios están protegidos

por permisos por defecto.

Los permisos por defecto para un nuevo archivo son de lectura/escritura para el

usuario o propietario que creó el archivo, y de lectura para el grupo y otros. 

Para los directorios, los permisos por defecto son de lectura/escritura/ejecución para

el usuario y de lectura/ejecución para el grupo y otros.

A través del comando ls -l, en Linux, podemos visualizar los permisos que por

defecto le asigna el sistema a los archivos (touch) y directorios (mkdir).

CAMBIO DE PERMISOS POR MEDIO DE LA LÍNEA DE

COMANDOS

El comando chmod es utilizado por el propietario de un archivo, o superusuario, para

cambiar los permisos de archivos.

El Modo Simbólico (relativo) utiliza combinaciones de letras y símbolos para

agregar o quitar permisos para categorías de usuarios seleccionadas.

El Modo Octal utiliza números octales para representar permisos de archivos y

se utiliza para configurar permisos para las tres categorías de usuarios. El modo

octal también se denomina modo absoluto o numérico.

CAMBIO DE PERMISOS POR MEDIO DE LA LÍNEA DE

COMANDOS

EL MODO SIMBÓLICO (RELATIVO).

chmod modo nombre_de_archivo

Who (Quién): Categoría de usuarios con la que está trabajando: u = usuario, g =

grupo, o = otros o a = todos

Op: Operador o lo que va a hacer: configurar (=), borrar (-), otorgar (+)

Permissions (Permisos): Permisos a ser asignados – r = lectura, w = escritura o x =

ejecución

chmod who op permissions nombre_de_archivo

El siguiente ejemplo quita (-) el permiso de lectura (r) del archivo dante para la

categoría de usuarios otros.

chmod o-r dante

chmod who op permissions nombre_de_archivo

El siguiente ejemplo agrega el permiso de escritura (w) al archivo dante para las

categorías de usuarios grupo (g) y otros (o).

chmod go+w dante

chmod ugo-rwx  =  chmod a-rwx

Permisos de lectura, escritura y ejecución para el usuario y de lectura y ejecución

para el grupo.

chmod u = rwx, g = rx dante

EL MODO OCTAL (ABSOLUTO)

chmod modo_octal nombre_de_archivo

o

chmod –R modo_octal nombre_de_archivo

Este modo también se denomina absoluto porque los permisos que aplica el usuario

reemplazarán explícitamente a los ya existentes.

Existen tres conjuntos de permisos, un conjunto para cada categoría de usuarios,

como usuario, grupo y otro.

Existen tres permisos posibles para cada conjunto como r, w, y x.

A cada conjunto de permisos para una categoría de usuarios puede asignársele un

valor numérico de 0 a 7, dependiendo de qué permisos se otorguen.

Asociando cada una de las tres posiciones de tipos de permisos r, w, x, con una

potencia de 2, cada uno puede representarse por medio de un número.

CAMBIO DE LOS PERMISOS POR DEFECTO POR MEDIO DE

UMASK

Los permisos por defecto automáticamente se aplican a los nuevos archivos con un

valor octal de 644 y a los directorios de 755.

La umask es la máscara de usuario usada para establecer los permisos a un archivo

o directorio.

Es un número en  octal que controla qué permisos se enmascararán.

La manera fácil de calcular umask es tomar 666 (rw-rw-rw-) para los archivos, los

permisos máximos para un archivo no ejecutable, y 777 (rwxrwxrwx) para los

directorios, y sustraer el nuevo permiso deseado. 

Se utiliza el comando umask para mostrar y configurar la umask:

umask (muestra la umask actual)

umask valor_de_umask (configura la umask)

Cuando creamos un fichero, el permiso inicial de éste será 644 (-rw-r--r--), valor

resultante de realizar la operación 666 - 022.

Al igual que cuando creamos un directorio, el permiso inicial será 755 (drwxr-xr-x),

resultado de 777 - 022.

umask realiza la diferencia a nivel de bits utilizando el operador AND. 

EJEMPLO

666 = 110 110 110

022 = 000 010 010

Para hacer la diferencia.

Not 022= 111 101 101

Aplicar el operador AND

PROPIEDAD Y GRUPOS

Cuando un archivo o directorio es creado, el propietario o usuario se asigna

automáticamente. En Linux, sólo el superusuario o raíz (root) puede cambiar la propiedad

de un archivo o directorio. Este cambio se lo realiza con el comando chown. A

continuación se muestra la sintaxis del comando chown:

chown nuevo_propietario nombre_archivo o nombre_directorio

Más sobre los Grupos

Un usuario puede pertenecer a dos tipos de grupos:

El grupo principal.

Cada usuario debe pertenecer a un grupo principal. El grupo principal de un usuario

es determinado por el administrador del sistema en el momento en el cual se crea la cuenta

del usuario, y se almacena en el archivo passwd que se encuentra en la ruta /etc/password. 

El grupo o grupos secundarios.

En Linux, cada usuario puede pertenecer también a entre 8 y 16 grupos secundarios.

Estos grupos se almacenan en el archivo groups dentro de la ruta /etc/groups. Sólo el

propietario puede abandonar la propiedad de un archivo. Cuando el usuario puede copiar

por el mismo el archivo, se convierte en propietario.

useradd –g staff –G Mgrs,Acctg User2

Si el usuario ya estaba creado

usermod -G lista_de_grupos User2

Cambio de propiedad de grupo.

chgrp nuevo_grupo nombre_de_archivo

El anterior organizador gráfico muestra cómo la membrecía a un grupo se asigna

cuando user2 hace logon. En el gráfico se visualiza que el archivo /etc/passwd se lee para

determinar el grupo principal o personal (staff). El archivo /etc/groups se lee para

determinar que el usuario es también un miembro de los grupos secundarios gerentes

(mgrs) y contabilidad (acctg). Como resultado de ello, user2 tendrá permisos para cualquier

archivo y directorio asignado a cualquiera de los tres grupos, principal o secundario.

IDENTIFICACIÓN DE USUARIOS POR MEDIO DE LOS

COMANDOS WHO Y FINGER

Dos comandos principales muestran quién está utilizando el sistema: who y finger.

El comando who muestra información acerca de todos los usuarios actualmente

loggeados al sistema local.

Identificación de usuarios por medio de los comandos who y finger

El comando finger muestra la misma información que el comando who.

El comando finger también brinda información más específica acerca del usuario

tal como el nombre completo del mismo a partir del archivo /etc/password, cuánto

tiempo desde que el usuario ha estado inactivo, el nombre del host, si se loggeó

remotamente y el último login.

finger User2

finger User2@ip_local o ip_remota

CAMBIO A LA CUENTA DE OTRO USUARIO

Un usuario puede cambiarse temporalmente a la cuenta de otro usuario para acceder

a archivos y directorios que pertenecen a ese usuario utilizando el comando su

(switch user - cambiar de usuario).

su nombre_de_usuario

Si el alumno está actualmente loggeado como root no es necesario el uso de una

contraseña.

Al cambiarse a la cuenta de otro usuario, el alumno se convierte en él y tiene todos

los accesos y privilegios que éste tiene.

Para volver a la ID de usuario anterior del alumno, tipee exit.

IDENTIFICACIÓN DE USUARIOS POR MEDIO DE LOS

COMANDOS WHO Y FINGER

El comando finger muestra la misma información que el comando who.

El comando finger también brinda información más específica acerca del usuario

tal como el nombre completo del mismo a partir del archivo /etc/password, cuánto

tiempo desde que el usuario ha estado inactivo, el nombre del host, si se loggeó

remotamente y el último login.