12.3. Características de los niveles de seguridad

Lo que sigue es la descripción de las características diferentes de seguridad que brinda cada nivel al sistema. Estas características son de dos tipos: refuerzo del sistema que cambia al sistema, y verificaciones que se corren periódicamente que no cambian el sistema.

12.3.1. Refuerzo del sistema

El tipo refuerzo del sistema cambia los permisos, dueños, grupos de los archivos y directorios en el sistema de acuerdo al nivel de seguridad.

También cambia los archivos de configuración para respetar el nivel de seguridad definido y vuelve a lanzar los programas necesarios para tomar en cuenta los cambios. El tipo refuerzo del sistema se ejecuta cada hora. Todos los cambios se registran en el syslog.

Característica \ Nivel012345
umask para los usuarios002002002002077077
umask para root002002002002002077
shell sin contraseñanonononono
autorizados a conectar a Xtodoslocallocalnadienadienadie
X escucha conexiones detodostodostodostodoslocallocal
tiempo de espera del shellningunoningunoningunoninguno3600900
su sólo para el grupo wheelnonononono
tamaño de la historia del shell    1010
sulogin en nivel de ejecución 1    
prohibir lista de usuarios en conexión gráficanononono
ignorar paquetes ICMP echonononono
ignorar mensajes de error falsos de ICMPnononono
conexión directa de rootnono
habilitar libsafenononono
prohibir at y crontab a los usuariosnononono
envejecimiento de contraseñas (días)    6030
prohibir autologinnonono
permitir mensajes (conexiones modo texto)todostodostodoslocallocalninguno
. en el $PATH nononono
advertencias en /var/log/security.log no 
advertir directamente sobre ttynono
advertencias en syslognono
advertencias por correo-enono
reportar todos los eventos del sistema por /dev/tty12nonono
Sólo root puede hacer ctrl-alt-del nononono
servicios desconocidos desactivadosnononono
garantizar conexión atodostodostodostodoslocalnadie

12.3.1.1. umask para los usuarios

Simplemente configura la umask para los usuarios normales al valor correspondiente al nivel de seguridad.

12.3.1.2. umask para root

Lo mismo, pero para root.

12.3.1.3. Acceso sin contraseña

Se garantiza el acceso a las cuentas sin pedir una contraseña.

12.3.1.4. autorizado a conectarse al servidor X

  1. todos: cualquiera desde cualquier lugar puede abrir una ventana X en la pantalla suya.

  2. local: sólo las personas conectadas en localhost pueden abrir una ventana X en la pantalla suya.

  3. nadie: nadie puede hacer tal cosa.

12.3.1.5. X escucha conexiones de

  1. todos: el servidor X escucha conexiones provenientes por TCP.

  2. local: el servidor X escucha conexiones provenientes del socket UNIX.

12.3.1.6. tiempo de espera del shell

Si el usuario está inactivo durante una cierta cantidad de segundos, el shell sale.

12.3.1.7. su sólo para miembros del grupo wheel

Sólo los miembros del grupo wheel pueden utilizar su para tomar la identidad de root.

12.3.1.8. Tamaño de la historia del shell

La cantidad de comandos que se almacenan cuando se sale del shell.

12.3.1.9. sulogin en nivel de ejecución 1

sulogin se utiliza para proteger el acceso al nivel de inicio de usuario único (Usted debe ingresar la contraseña de root para tener acceso).

12.3.1.10. Prohibir lista de usuarios en conexión gráfica

Evitar mostrar la lista de usuarios del sistema en KDM y GDM.

12.3.1.11. Ignorar eco ICMP

No responder a pedidos ping.

12.3.1.12. Ignorar mensajes de error ICMP falsos

No manejar mensajes de error falsos de ICMP.

12.3.1.13. Conexión directa de root

Permitir la conexión directa como root sin utilizar el programa su.

12.3.1.14. Habilitar libsafe

Habilitar la protección libsafe (sólo se activa si está instalado el paquete libsafe).

12.3.1.15. Prohibir at y crontab a los usuarios

Los usuarios no puede utilizar los programas at y crontab. Sin embargo, root puede utilizarlos. Si desea autorizar sólo a algunos usuarios debe agregarlos, respectivamente, en /etc/at.allow y /etc/cron.allow.

12.3.1.16. Envejecimiento de las contraseñas

Las contraseñas expiran luego de una cantidad fija de días; los usuarios necesitan cambiarlas antes de la fecha de expiración si no desean que se desactive sus respectivas cuentas.

12.3.1.17. Prohibir autologin

Está prohibido el uso del programa autologin.

12.3.1.18. Permitir mensajes

Si se configura en ninguno, no se muestran carteles. Si se configura en local, sólo se muestra un cartel de conexión en la consola. Si se configura en todos, se muestra un cartel de conexión en todos los prompts de conexión.

12.3.1.19. . en el $PATH

se agrega la entrada . a la variable de entorno $PATH, lo que permite una ejecución fácil de los programas en el directorio de trabajo corriente (también es, de alguna forma, un hueco de seguridad).

12.3.1.20. advertencias en el archivo /var/log/security.log

Cada advertencia generada por MSEC se registra en el archivo denominado /var/log/security.log.

12.3.1.21. advertencias directamente sobre la consola

Cada advertencia generada por la verificación diaria se imprime directamente sobre la consola corriente del usuario root.

12.3.1.22. advertencias en syslog

Las advertencias generadas durante la verificación diaria se dirigen al servicio syslog.

12.3.1.23. Advertencias por correo-e

Las advertencias generadas durante la verificación diaria también se envían a root por correo electrónico.

12.3.1.24. Los servicios desconocidos están deshabilitados

Durante la instalación de un paquete sólo se añaden los servicios por medio de chkconfig --add <servicio> si el nombre del servicio aparece en el archivo /etc/security/msec/server.

12.3.1.25. Garantizar la conexión a...

  1. todos: todas las computadoras se pueden conectar a los puertos abiertos.

  2. local: sólo el localhost se puede conectar a los puertos abiertos.

  3. nadie: ninguna computadora puede conectarse a los puertos abiertos.

El paquete tcp wrappers garantiza esta protección. Si desea garantizar acceso a un servicio y ninguno tiene acceso garantizado, utilice el archivo /etc/hosts.allow. Por ejemplo, si desea garantizar las conexiones por ssh desde cualquier lugar, agregue la línea siguiente a /etc/hosts.allow:

sshd: ALL

12.3.2. Verificaciones periódicas

Si el nivel de seguridad es mayor que 0, las verificaciones se ejecutan cada noche.

Característica \ Nivel012345
verif. global de seguridadno
verif. archivos suid rootnono
verif. MD5 de archivos suid rootnono
verif. archivos que se pueden escribirnono
verif. permisosnonono
verif. archivos grupo suidnono
verif. archivos sin dueñonononono
verif. promiscuanononono
verif. puertos abiertosnonono
verif. integridad de passwdnonono
verif. integridad de shadownonono
verif. integridad de base de datos RPMnonono

Note que siete de las doce verificaciones periódicas pueden detectar cambios en el sistema. Las mismas almacenan la configuración del sistema durante la última verificación (hace un día) y le advierten de cualquier cambio que ocurrió en los archivos ubicados en el directorio /var/log/security/ desde ese momento. Estas verificaciones son:

12.3.2.1. Verificación global de seguridad

  1. "sist. de archivos NFS exportados globalmente": esto se considera inseguro y no hay restricción en cuanto a quién puede montar estos sistemas de archivos.

  2. "montajes NFS sin nosuid": estos sistemas de archivos se exportan sin la opción nosuid la que prohíbe que funcionen los programas suid en la máquina.

  3. "Los archivos de confianza de hosts contienen el signo +": eso significa que uno de /etc/hosts.equiv, /etc/shosts.equiv, /etc/hosts.lpd contiene los hosts desde los cuales se permite la conexión sin autenticación apropiada.

  4. "Ejecutables que se encuentran en el archivo de alias": genera una advertencia, nombrando a los ejecutables que se corrieron a través de los archivos /etc/aliases y /etc/postfix/aliases.

12.3.2.2. Verificación de los archivos suid root

Verifica archivos suid root nuevos o quitados en el sistema. Si se encuentran tales archivos se genera una lista de los mismos a modo de advertencia.

12.3.2.3. Verificación MD5 de los archivos suid root

Verifica la firma MD5 de cada archivo suid root del sistema. Si la firma ha cambiado significa que se ha hecho una modificación a este programa, posiblemente una "puerta trasera". Entonces se genera una advertencia.

12.3.2.4. Verificación de archivos que se pueden escribir

Verifica si en el sistema existen archivos que puede escribir todo el mundo. De ser así, genera una advertencia que contiene la lista de estos archivos molestos.

12.3.2.5. Verificación de permisos

Verifica los permisos para algunos archivos especiales tales como .netrc o los archivos de configuración de los usuarios. También verifica los permisos en los directorios personales de los usuarios. Si los permisos son muy vagos o los dueños no son usuales, genera una advertencia.

12.3.2.6. Verificación de archivos sgid

Verifica archivos sgid nuevos o quitados en el sistema. Si se encuentran tales archivos, se genera una lista de los mismos a modo de advertencia.

12.3.2.7. Verificación de archivos sin dueño

Busca archivos cuyos dueños son usuarios o grupos desconocidos para el sistema. Si se encuentran tales archivos, se cambia automáticamente su dueño/grupo a nobody.nogroup.

12.3.2.8. Verificación promiscua

Verifica cada tarjeta Ethernet para determinar si está en modo "promiscuo". Este modo permite que la tarjeta intercepte cada paquete que recibe, incluso aquellos que no están dirigidos a la misma. Esto puede significar que su máquina está corriendo un sniffer (sabueso). Note que esta verificación está configurada de manera tal para que ejecute cada minuto.

12.3.2.9. Verificación de puertos abiertos

Genera una advertencia con todos los puertos abiertos.

12.3.2.10. Verificación de integridad del archivo passwd

Verifica que cada usuario tiene una contraseña (que no está vacía y que no es fácil de adivinar) y verifica que la misma esté "oculta".

12.3.2.11. Verificación de integridad del archivo shadow

Verifica que cada usuario en el archivo shadow tiene una contraseña (que no está vacía).

12.3.2.12. Verificación de integridad de la base de datos RPM

Verifica que no ha cambiado archivo alguno de los paquetes instalados y verifica que no se ha instalado/quitado/actualizado paquete alguno desde la última corrida.


Tux sobre Estrella por MandrakeSoft Linux es una marca registrada de Linus Torvalds. Todas las otras marcas registradas y copyrights son la propiedad de sus respectivos dueños.
A menos que se diga lo contrario, todo el contenido de estas páginas y todas las imágenes tienen Copyright de MandrakeSoft S.A. y de MandrakeSoft Inc. 2002.
http://www.mandrakelinux.com/