El documento discute la seguridad a nivel de usuario y administrador, incluyendo permisos de usuario, sniffing de conexiones SSL e iptables. Los permisos de usuario controlan el acceso a archivos y directorios, mientras que iptables permite filtrar paquetes de red entrantes y salientes.
1. Securizando sistemas
a nivel de usuario y administrador
Alberto Ortega
Guillermo Ramos
Eduardo de la Arada
Adriana Castro
30 de julio de 2010
(aw3a) Securizando sistemas 30 de julio de 2010 1 / 17
2. ´
Indice
1 Permisos de usuario
2 Sniffing de conexiones SSL
3 IPTABLES
(aw3a) Securizando sistemas 30 de julio de 2010 2 / 17
3. Contenido
1 Permisos de usuario
2 Sniffing de conexiones SSL
3 IPTABLES
(aw3a) Securizando sistemas 30 de julio de 2010 3 / 17
4. Permisos
Para ficheros de datos
r → El fichero se puede leer.
w → El fichero se puede escribir.
x → El fichero se puede ejecutar.
Para directorios
r → El contenido del directorio se puede leer (ls).
w → Se pueden anadir o eliminar ficheros.
˜
x → Se puede seguir descendiendo en el arbol de directorios.
´
(aw3a) Securizando sistemas 30 de julio de 2010 4 / 17
5. Usuarios y grupos de usuarios
UID real → Usuario
UID efectivo → Depende de los permisos
GID real → Grupo del usuario
GID efectivo → Depende de los permisos
Bits SETUID y SETGID
SETUID activo → UID efectivo = UID del propietario del fichero
SETGID avtivo → GID efectivo = GID del grupo del propietario del
fichero
(aw3a) Securizando sistemas 30 de julio de 2010 5 / 17
6. ´
Reglas de proteccion
UID efectivo = 0 → acceso total (superusuario)
UID efectivo = UID propietario → permisos de usuario
GID efectivo = GID propietario → permisos de grupo
EOC → permisos de otros
Bit x
s → activo SETUID o SETGID
t → crear y borrar entradas con el UID efectivo de un proceso
(directorios temporales)
(aw3a) Securizando sistemas 30 de julio de 2010 6 / 17
7. chown
chown [USUARIO] [ARCHIVO]
chgrp
chgrp [GRUPO] [ARCHIVO]
chmod
chmod [PERMISOS] [ARCHIVO]
r w x numero
0 0 0 0
0 0 1 1
0 1 0 2
0 1 1 3
1 0 0 4
1 0 1 5
1 1 0 6
1 1 1 7
Ejemplo:
chmod 755 archivo.txt
(aw3a) Securizando sistemas 30 de julio de 2010 7 / 17
8. Contenido
1 Permisos de usuario
2 Sniffing de conexiones SSL
3 IPTABLES
(aw3a) Securizando sistemas 30 de julio de 2010 8 / 17
9. (aw3a) Securizando sistemas 30 de julio de 2010 9 / 17
10. Contenido
1 Permisos de usuario
2 Sniffing de conexiones SSL
3 IPTABLES
(aw3a) Securizando sistemas 30 de julio de 2010 10 / 17
11. ´
Introduccion
iptables
Herramienta cortafuegos que permite filtrar paquetes, realizar la
´
traduccion de direcciones de red para IPv4 y mantener registros de
log.
´
El administrador del sistema define reglas para saber que hacer con
los paquetes de red.
´ ´
Cada regla especifica que paquetes la cumplen y que hacer con ellos.
´
Cadenas basicas:
INPUT
OUTPUT
FORWARD
(aw3a) Securizando sistemas 30 de julio de 2010 11 / 17
13. Destinos de las reglas
Destinos incorporados:
ACCEPT
DROP
QUEUE
RETURN
´
Destinos de extension:
REJECT
LOG
otros (ULOG, DNAT, SNAT, MASQUERADE)
(aw3a) Securizando sistemas 30 de julio de 2010 13 / 17
14. Seguimiento de conexiones
El seguimiento de conexiones clasifica cada paquete dependiendo
de su estado:
NEW → Primer paquete
ESTABLISHED → Respuesta a NEW
RELATED → Error ICMP
INVALID → Error ICPM de una conexion desconocida
´
(aw3a) Securizando sistemas 30 de julio de 2010 14 / 17
15. (aw3a) Securizando sistemas 30 de julio de 2010 15 / 17
16. Ejemplos
iptables -L
iptables -F
iptables -P INPUT DROP
iptables -t nat -P POSTROUTING ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -D INPUT -i lo -j ACCEPT
(aw3a) Securizando sistemas 30 de julio de 2010 16 / 17
17. Ejemplos
iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j
MASQUERADE
iptables -A INPUT -p tcp --dport 1:1024 -j DROP
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.1:3128
iptables -A INPUT -p tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
(aw3a) Securizando sistemas 30 de julio de 2010 17 / 17