Seguridad en Sistemas Operativos

Prof. Wilmer Efrén Pereira González

Linux: Principios y Comandos

de Usuario Básicos
 UNIX/linux
Son una familia de SOP’s, con versiones propietarias y código abierto,
muy populares en ambientes de alto desempeño por su menor tasa de fallos y
seguridad en entornos abiertos.

UNIX/Linux se divide en tres capas: hardware, kernel y aplicaciones. El kernel

coordina las operaciones del software con el hardware, específicamente, adminis-
trando la memoria, el tiempo de ejecución de procesos mediante tiempo compartido
y la gestión de los periféricos. Pueden instalarse una versión diferente en el SOP.
Los file systems más comunes son: ext3 o ext4. Si es distribuido se usa NFS
(Network File System) que genera la sensación de localidad en el usuario.
La conexión inicial requiere un login y un password que se guarda, aplicándole una
función de hash, en el archivo /etc/passwd. Todas las cuentas de usuario (salvo
la del administrador) se encuentran en /home.
pwd Directorio actual
whoami Nombre del usuario
exit Salida de la sesión trabajo
ssh Conexión con login y password a una máquina remota

2
 Servicios y procesos
Tanto los servicios de red (ssh, http, dns, dhcp, …) funcionan bajo la
arquitectura cliente/servidor. El cliente solicita un recurso a un servidor que se
ejecutan en ciclo infinito a la escucha de peticiones. El servidor se levanta en un
puerto fijo definidos por la IANA. Se visualizan con ss –antlp …
Cliente Servidor
Petición
Aplicación Programa en
que accede ciclo infinito
Respuesta
al servidor (demonio)

Máquina local Máquina remota

Cada servidor tiene hasta 65,536 puertos disponibles (/etc/services):
Bien conocidos (1-1023): Escucha de servidores de red
Registrados (1024-49151): Solicitados a la IANA para servicios UNIX
Dinámicos (49152-65535): Controlados por el SOP. Se asignan tempo-
ralmente a los clientes o puertos de respuesta
efímeros del servidor.
Sintaxis general de comando linux
$ comando [ETIQUETAS] PARÁMETROS

Las etiquetas u opciones se pueden encontrar en los manuales en línea que describe
en detalle todo lo requerido para el administrador, programador o usuario (man).
Esta organizado en 9 secciones por temas: comandos generales, llamadas al sistema,
librerías, comandos de administración, …
Las etiquetas se pueden colocar en cualquier orden y, las descritas por sólo una letra,
pueden ir juntas o separados
ls –s –a ls –as ls -sa

Los directorios están organizados en una estructura arborescente donde en lo más alto
de la jerarquía está la carpeta raíz. Los directorios más importantes son:
/bin comandos del sistema
/etc archivos de configuración
/home directorios de usuarios
/dev dispositivos del sistema representados como archivos …
4
 Acciones sobre los directorios
Algunos comandos que aplican sobre los directorios y archivos:
cd Cambio de directorio
mkdir creación de directorio
less Ver contenido de un archivo
find Buscar un directorio dentro de la jerarquía
grep Buscar un patrón dentro de un archivo

Los recursos o archivos se referencian de manera absoluta o relativa mediante el

path o camino:
camino absoluto: Posición del archivo desde la raíz. Siempre comienza con /
camino relativo: Posición del archivo con respecto al directorio actual
Nunca comienza con /
cd Desktop/gpg cd /var/logs
Los movimientos dentro de los directorios, con la posibilidad de creación, borrado y
acceso de archivos dependen de los permisos del usuario
$ cd /
$ mkdir wilmer No debería funcionar
5
 Tipos de archivos
El comando file permite determinar entre los siete tipos posibles de archivos:

Normal (-): Contiene datos o programas

Directorio (d): Archivo con información del directorio
Bloque (b): Usado para transferir como buffer de I/O
Carácter (c): Corresponde a dispositivos a caracteres.
Link (l): Archivo que enlaza su contenido
Socket (s): Designa un canal de comunicación entre máquinas
Pipes (p): Designa un canal de comunicación entre procesos

$ ls -l -s /dev

Cada archivo tiene un propietario que a su vez pertenece a un grupo de trabajo

La protección del archivo se categoriza según tres actores:

Propietario Miembro del grupo Cualquier otro usuario

6
Protección de archivos y directorios
Hay tres maneras de proteger los archivos con la posibilidad de:

r (read) Lectura
w (write) Escritura
x (execute) Ejecución
En cada directorio las tres maneras de protegerlo son:

r Ver los nombres de los recursos que lo componen

w Crear, borrar y renombrar recursos
x Ver información del recurso si da explícitamente el
nombre. Debe tener r para poder ver su contenido

La protección de los archivos contenidos y las

asignadas al directorio, son independiente. Además
los directorios pueden tener sólo agregar (s)

7
 Protección de archivos
$ ls -Fsl /
Una parte de la ejecución de este comando es:

drwxr-xr-x 30 root sys 3584 Aug 1 03:10 etc/

-rwxr-xr-x 1 root other 193 Nov 6 1998 init-ntp*
lrwxrwxrwx 1 root root 9 Dec 9 1997 lib -> ./usr/lib/

Número de bytes
Tipo de archivo
Nombre Archivo
Protección
Número de bloques
Propietario La protección sólo puede ser
cambiada por el propietario
Grupo o el administrador
Fecha

8
 Protección de archivos y cifrado
La protección se fija, mediante una secuencia rwx, para cada uno de los tres roles:
propietario, miembros del grupo y otros

–rwxr-x--x 2 wpereira cs 512 Jun 1 1998 index.html

La primera secuencia de rwx indica los derechos que tiene el propietario

sobre el archivo. La segunda secuencia los que tendría cualquier miembro
del grupo cs. La última los de cualquier otro usuario.

El propietario tiene todos los permisos sobre index.html, para los

miembros del grupo se impide la escritura y para el resto de los usuarios
sólo pueden ejecutarlo
Si se desea que los recursos estén cifrados, se puede hacer sobre todo el disco con luks.
(Linux Unified Key Setup). Usa dm-crypt que realiza el cifrado transparente y puede
realizar el cifrado de particiones, volúmenes RAID, volúmenes lógicos y archivos.
Manualmente se haría con gpg … luks se puede usar también como sistema de respaldo

9
 Cambio de permisos
chmod PROTECCIÓN ARCHIVOS

La protección por cada ente se presenta en tres bits (rwx), es decir, que se
representa en binario, por presencia o ausencia, y se modifica usando su
representación en octal o binario.
Ejemplos:
Binario: 101 Octal: 5 Protección: r-x
Binario: 110 Octal: 6 Protección: rw-
Así:
$ chmod 655 index.html

En este caso, sólo impediría al propietario ejecutar el archivo index.html

y permitiría a los demás usuarios (grupo y el resto) leerlo y ejecutarlo.
También se puede cambiar de grupo cada recurso con chgrp.

10
 Otros comandos sobre archivos
cp Copiar archivos
rm Borrar archivos
mv Cambiar nombres de archivos
vi, gedit, emacs Editores de texto
wc Imprime líneas, palabras y caracteres de un archivo
diff Diferencia entre archivos

Se puede hacer redireccionamiento sobre los archivos

> La salida de un comando va a un archivo

< El archivo viene como entrada a un comando
| La salida de un comando es entrada a un comando

$ sort a.txt > b.txt $ grep “out” a.txt | wc

11
 Cuenta de administrador (root)
Sobre esta cuenta no aplican ninguna de las restricciones de permisos por lo que
puede crear, modificar y borrar archivos de cualquier directorio
Debe usarse con sumo cuidado pues cualquier acción descuidada puede causar
daños irreversibles al SOP
Un usuario convencional puede obtener permisos especiales, si lo permite root,
mediante la configuración del archivo more /etc/sudoers.
Para que el usuario pueda invocar sus derechos especiales debe preceder el comando
con la directiva sudo.

No debería funcionar para un usuario

$ more /etc/shadow
sin privilegios especiales !!!

Es la cuenta más codiciada por los atacantes cuando intentan apoderarse de infor-
mación del sistema o de los usuarios
Existe también el comando su (substitute user) para pasarse a cualquier cuenta
(incluyendo root). Se puede definir con un tiempo de activación limitado. Tanto
sudo como su piden la contraseña del propietario de la sesión.

12
 Archivos de configuración
Se encuentra en la carpeta /etc que le pertenece a root. Son necesarios para la
configuración del propio sistema operativo o la red:
services: Puertos de comunicación y protocolos de servicios de red
fstab: Sistemas de archivos montados
login.defs: Configuración para el acceso de usuarios
inittab: Scripts de arranque y ejecución del comando init
profile: Variables de entorno global
passwd: Información sobre usuarios exceptuando la contraseña
shadow: Contraseñas hasheadas de los usuarios
sudoers: Descripción de privilegios para usuarios no root …
También hay algunos directorios que, a su vez, contienen archivos de configura-
ción. Generalmente con extensión .d aunque no necesariamente:
cron.d: Programas de ejecución diferida
rc.d: Scripts de arranque del sistema operativo.
grub.d: Archivos de configuración del gestor de arranque
network: Archivos de configuración de las interfaces de red, DNS, …
pam.d: Archivos de configuración de estrategia de autentificación
sbin: Comandos que sólo puede ejecutar root.
13
 Comandos de red en linux
ifconfig o ip a Parámetros y estadísticas de la tarjeta de red
ping Comando de verificación de conectividad
sftp Descarga remota segura
rcp o scp Copia entre UNIX/Linux remotos
arp o ip neigh Tabla de correspondencia entre IP y MacAddress
dhcliente Solicita una nueva dirección IP
ss Servicios de red, puertos y estadísticas del enlace

También se pueden controlar la ejecución, visualizar o eliminar procesos

ps Procesos que se ejecutan sobre el SOP

kill Eliminar procesos
^Z Suspende el proceso y lo envía al background
fg Activa el proceso suspendido

Se pueden usar las flechas para moverse en el histórico de los comandos y en la

propia línea para editarlo

14
[email protected]

www.unir.net