7.3. Características de los niveles de seguridad

Lo que sigue es la descripción de las características diferentes de seguridad que brinda cada nivel al sistema. Estas características son de varios tipos:

Característica \ Nivel012345
verificación de seguridad global  
umask para los usuarios002002002002077077
umask para root002002002002002077
shell sin contraseña     
autorizados a conectar a Xtodoslocallocalnonono
usuario en grupo audio   
. en el $PATH    
advertencias en /var/log/security.log 
advertir directamente sobre tty  
advertencias en syslog  
advertencias por correo-e a root  
verificación archivos suid root  
MD5 a archivos suid root  
verif. archivos que se pueden escribir   
verif. permisos   
verif. archivos grupo suid   
verif. archivos sin dueño   
verif promiscua   
verif. puertos abiertos   
verif. integridad del archivo passwd   
verif. integridad del archivo shadow   
verif. seguridad sistema cada medianoche   
reportar todos los eventos del sistema por /dev/tty12   
Sólo root puede ctrl-alt-del    
servicios desconocidos desactivados    
contraseña de arranque para (GRUB/LILO)    
garantizar conexión desdetodostodostodostodoslocalninguno

Nótese que seis de las diez verificaciones periódicas pueden detectar cambios sobre el sistema. Estas almacenan la configuración del sistema durante la última verificación (el día anterior) en el directorio /var/log/security/, y le advierten al administrador del sistema de cualquier cambio ocurrido entre tanto. Dichas verificaciones son las siguientes:

7.3.1. "verificaciones globales de seguridad"

  1. "NFS filesystems globally exported": (Sistemas de archivos NFS exportados globalmente) esto se considera inseguro, ya que no hay restricción alguna sobre quien puede montar estos sistemas de archivos

  2. "NFS mounts with missing nosuid": (montajes NFS a los que le falta nosuid) estos sistemas de archivos se exportan sin la opción nosuid, la cual prohíbe que se ejecuten los programas suid en la máquina.

  3. "Host trusting files contain + sign": (Archivos de confianza a clientes que contienen el signo +) esto significa que uno de los archivos siguientes: /etc/hosts.equiv,

    /etc/shosts.equiv, /etc/hosts.lpd contienen hosts autorizados a conectarse sin autenticación adecuada.

  4. "Executables found in the aliases files": (Ejecutables encontrados en los archivos de alias) genera una advertencia nombrando a los ejecutables que pueden ser ejecutados a través /etc/aliases y /etc/postfix/aliases.

7.3.2. "umask para los usuarios"

Simplemente configura la umask para los usuarios normales al valor correspondiente al nivel de seguridad.

7.3.3. "umask para root"

Lo mismo, pero para root.

7.3.4. "shell sin contraseña"

Se garantiza el acceso a la consola sin pedir una contraseña.

7.3.5. "autorizado a conectarse al servidor X"

  1. todos: cualquiera desde cualquier lugar puede abrir una ventana X en su pantalla.

  2. local: solo las personas conectadas a su sistema pueden abrir una ventana X en su pantalla.

  3. no: nadie puede hacer tal cosa.

7.3.6. "usuarios en el grupo audio"

Cada usuario del sistema es miembro de los grupos audio, urpmi y cdrom automáticamente. Esto significa que se garantizan algunos privilegios especiales a todos los usuarios para utilizar la placa de sonido, los paquetes, etc.

7.3.7. ". en el $PATH"

se agrega la entrada . a la variable de entorno $PATH, lo que permite una ejecución fácil de los programas en el directorio de trabajo corriente (también es, de alguna forma, un hueco de seguridad).

7.3.8. "advertencias en /var/log/security.log"

Cada advertencia generada por MSEC se registra en el archivo denominado /var/log/security.log.

7.3.9. "advertencias directamente sobre la consola"

Cada advertencia generada por MSEC se imprime directamente sobre la consola corriente.

7.3.10. "advertencias en syslog"

Las advertencias de MSEC se dirigen al servicio syslog.

7.3.11. "advertencias por correo-e a root"

Las advertencias generadas por MSEC también se envían a root por correo electrónico.

7.3.12. "verificación de los archivos suid root"

Verifica el agregado o borrado de archivos suid root en el sistema. Si se encuentran tales archivos, se genera una lista de los mismos como advertencia.

7.3.13. "verificación MD5 de los archivos suid root"

Verifica la firma MD5 de cada archivo suid root que se encuentra en el sistema. Si la firma cambió, quiere decir que se ha hecho una modificación a este programa, lo cual es un signo de intrusión, posiblemente una puerta trasera. Entonces, se genera una advertencia.

7.3.14. "verificación de los archivos que se pueden escribir"

Verifica los archivos que se pueden escribir por todo el mundo en el sistema. De ser así, genera una advertencia con una lista de estos archivos molestos.

 

 

7.3.15. "verificación de los permisos"

Esto verifica los permisos de ciertos archivos especiales tales como .netrc o los archivos de configuración de los usuarios. También verifica los permisos de los directorios personales de los usuarios. Si los permisos son demasiado ligeros o los propietarios son inusuales, genera una advertencia.

7.3.16. "verificación de los archivos con grupo suid"

Verifica el agregado o borrado de archivos con el grupo configurado como suid en el sistema. Si existen tales archivos, se genera una advertencia con una lista de los mismos.

7.3.17. "verificación de archivos sin dueño"

Esta verificación busca archivos pertenecientes a usuarios o grupos desconocidos por el sistema. Si se encuentran tales archivos, se cambia automáticamente la pertenencia al usuario/grupo nobody (nadie).

7.3.18. "verificación de tipo promiscua"

Esta prueba verifica cada placa Ethernet para determinar si se encuentra en modo "promiscuous". Este modo le permite a la placa interceptar cada paquete recibido, incluso aquellos que no están dirigidos a ella. Podría significar que un sniffer (sabueso) está corriendo en su sistema. Nótese que esta verificación está configurada de forma tal de efectuarse una vez por minuto.

7.3.19. "verificación de los puertos abiertos"

Genera una advertencia que contiene la lista de los puertos abiertos.

7.3.20. "verificación de la  integridad  del  archivo  de  contraseñas"

Verifica que cada usuario tiene una contraseña (que no esté en blanco o sea fácil de adivinar) y verifica que la misma está en el archivo shadow.

7.3.21. "verificación de la integridad del archivo shadow"

Verifica que cada usuario dentro del archivo shadow tiene una contraseña (que no esté en blanco o sea fácil de adivinar).

7.3.22. "verificación de la seguridad del sistema todos los días a la medianoche"

Todas las verificaciones previas se ejecutarán cada día a la medianoche. Esto se basa en el agregado de un script cron en el archivo crontab.

7.3.23. "desactivar los servicios desconocidos"

Todos los servicios que no se encuentran en el archivo denominado /etc/security/msec/init-sh/server.4 para el nivel 4 o el archivo server.5 para el nivel 5 se desactivan. No se quitan, sino que simplemente no se inician cuando se carga un runlevel. Si necesita alguno o algunos, simplemente debe agregarlos nuevamente con el utilitario chkconfig (puede ser que también los tenga que reiniciar con los scripts de inicio de init del directorio /etc/rc.d/init.d).

7.3.24. "contraseña de arranque"

Hay dos comportamientos diferentes de acuerdo al cargador de arranque que Ud. utilice:

GRUB

Al momento de arrancar, GRUB le pedirá la contraseña solamente si Ud. pasa opciones al núcleo manualmente. Esto permite que su sistema vuelva a arrancar por sí solo, sin la necesidad de un operador, evitando, sin embargo, que las personas no autorizadas vuelvan a iniciar la máquina de una manera inusual (por ejemplo, en el modo failsafe, a prueba de fallos).

LILO

Le permite configurar una contraseña para LILO. Evita que las personas no experimentadas vuelvan a arrancar la máquina, pero por otro lado, la máquina no va a poder arrancar por sí sola.[1]

7.3.25. "garantizar la conexión a"

  1. todos: todas las computadoras se pueden conectar a los puertos abiertos.

  2. local: solo el sistema local se puede conectar a sus propios puertos abiertos.

  3. ninguno: ninguna computadora puede conectarse a los puertos abiertos.

Notas

[1]

Tendrá que ingresar la contraseña cada vez que necesite volver a arrancar la máquina, que no deberían ser muchas ... :-)


Tux sobre Estrella por MandrakeSoft Linux es una marca registrada de Linus Torvalds. Todas las otras marcas registradas y copyrights son la propiedad de sus respectivos dueños.
A menos que se diga lo contrario, todo el contenido de estas páginas y todas las imágenes tienen Copyright de MandrakeSoft S.A. y de MandrakeSoft Inc. 2000.
http://www.linux-mandrake.com/