Imagen abstracta de una mujer sentada en libros y estudiando en una computadora portátil

Curso Avanzado Seguridad Acceso

Descargar como ODP, PDF
A
Antonio Durán

El documento describe los conceptos básicos de autenticación de usuarios en sistemas GNU/Linux, incluyendo ficheros, PAM, LDAP y contraseñas. Explica cómo PAM permite configurar múltiples métodos de autenticación y los tipos de módulos PAM. También cubre la autenticación con LDAP usando el protocolo LDAP para consultar un directorio remoto en lugar de los ficheros locales, y el formato LDIF para importar/exportar datos del directorio.

1 de 67
Descargado 166 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
Curso Avanzado de Administradores Seguridad en sistemas GNU/Linux: Acceso a sistemas Antonio Durán Terrés
Contenidos Entrada al sistema de los usuarios Ficheros Unix Conceptos generales sobre PAM Autenticación con LDAP Asegurando la autenticación de usuarios Seguridad física PAM LDAP Contraseñas
Ficheros Unix /etc/passwd Cuentas de los usuarios del sistema, incluyendo sus contraseñas si no se usan shadow passwords. Este fichero es legible por todos los usuarios /etc/shadow Contraseñas cifradas de los usuarios, si se usan shadow passwords. Este fichero solo es accesible para root
Ficheros Unix /etc/passwd Cuentas de los usuarios del sistema, incluyendo sus contraseñas si no se usan shadow passwords. /etc/shadow Contraseñas cifradas de los usuarios, si se usan shadow passwords. En la actualidad, el algoritmo de cifrado de claves más usado es MD5, que obtiene a partir de la clave un hash de 16 bytes.
Ficheros Unix En la actualidad, el algoritmo de cifrado de claves más usado es MD5, que obtiene a partir de la clave un hash de 16 bytes. El algorimto de hash es de sólo de ida, lo que significa que a partir del hash no se puede obtener la clave. Aunque en los sistemas GNU/Linux modernos siempre se activan por defecto contraseñas MD5, en algunas instalaciones de LDAP de los I.E.S. se usa crypt, que es un algoritmo mucho más débil
Ficheros Unix El algorimto de hash es de sólo de ida, lo que significa que a partir del hash no se puede obtener la clave. Este mismo algoritmo se usa para verificar los paquetes que bajamos de Internet Aunque en los sistemas GNU/Linux modernos siempre se activan por defecto contraseñas MD5, en algunas instalaciones de LDAP de los I.E.S. se usa crypt, que es un algoritmo mucho más débil
PAM PAM = Pluggable Authentication Modules Colección de librerías que permiten al administrador elegir como se autenticarán los usuarios. Permite cambiar la autenticación que usan las aplicaciones PAM sin necesidad de recompilarlas. Por ejemplo: login, gdm, etc.
PAM Objetivo: separar el SW dedicado a otorgar privilegios del SW dedicado a desarrollar sistemas de autenticación seguros y apropiados. Configuración: Configuración basada en un solo fichero: /etc/pam.conf Configuración basada en directorios: /etc/pam.d/ Módulos: /lib/security
PAM PAM trata con cuatro tipos de tareas: Gestión de autenticación Gestión de cuentas Gestión de sesiónes Gestión de contraseñas
PAM En los I.E.S. se usa configuración basada en directorios Usa los ficheros de /etc/pam.d Cada fichero tiene el nombre de un servicio, que corresponde con la configuración para ese servicio. Formato de las líneas de cada fichero: tipo_modulo bandera_control path_modulo args
PAM Configuración tipo_modulo Uno de los 4 tipos de módulos actuales: auth account session password
PAM Tipos de módulo auth Proporciona dos aspectos de la autenticación de usuarios. Primero establece que el usuario es quien dice ser. Segundo, puede otorgar mebresías de grupo independientemente del fichero /etc/groups, u otros privilegios.
PAM Tipos de módulo account. Se encarga de la gestión de cuentas no relacionada con la autenticación. Suele usarse para permitir/denegar accesos basandose en la hora/día, recursos del sistema disponibles o la localización del usuario (por ej: root sólo puede hacer login en la consola)
PAM Tipos de módulo session. Principalmente este módulo se encarga de las cosas que se deben hacer por el usuario antes/después de que se le conceda el servicio. Estas actividades se refieren, por ejemplo, a la escritura de información de registro sobre la apetura/cierre de sesiones, el montaje de directorios, etc.
PAM Tipos de módulo password. Es necesario para actualizar los tokens utilizados para la autenticación. Normalmente hay uno para cada módulo del tipo auth .
PAM Configuración bandera de control Se utiliza para indicar como reaccionará la librería PAM al tener éxito o fracaso el módulo al que está asociada. Como los módulos pueden ser apilados, la bandera de control representa la importancia relativa de cada módulo. La aplicación no recibe el resultado de módulos individuales, sino sólo un resultado de la librería.
PAM Configuración bandera de control 2 formas de especificar la bandera de control. Vemos sólo la simple (la que usamos en los IES). Representamos la bandera de control con una sola palabra que indica la severidad de un acierto o fracaso en el módulo. Las cuatro opciones son: required, requisite, sufficient, optional e include.
PAM Configuración bandera de control required: Indica que es necesario el éxito de este módulo. requisite: como required, sin embargo si falla no se siguen ejecutando más modulos. suffcient: El éxito de éste módulo se considera como suficiente para conceder el permiso. optional: No es crítico para el éxito o fracaso de la aplicación.
PAM Configuración bandera de control include: Indica al sistema PAM que incluya los contenidos del fichero indicado. path_modulo Ruta hacia el módulo. args Argumentos que se pasan al módulo.
PAM Configuración Argumentos opcionales generales: debug: información de debug en los logs. no_warn: no dar mensajes de aviso a la aplicación. use_first_pass: El módulo no debe pedir una contraseña al usuario. En cambio, debe usar la contraseña introducida anteriormente en el primer módulo de tipo auth. Si no funciona, el acceso será denegado.
PAM Configuración Argumentos opcionales generales: try_first_pass: El módulo debe intentar la autentiacción con la contraseña introducida anteriormente. Si no funciona, se pide otra contraseña al usuario. expose_account: da mas información al usuario sobre las cuentas.
PAM Programas sin fichero asociado en pam.d/ En lugar de una entrada other en pamd.conf, hay un fichero other que incluye estos cuatro : common-account common-auth common-password common-session
PAM Ejemplos de common-auth usados en los clientes Versión 1: auth sufficient pam_unix.so auth sufficient pam_ldap.so user_first_pass Versión 2: auth sufficient pam_unix.so auth required pam_ldap.so user_first_pass
PAM Descripción de los módulos pam_unix: Módulo de autenticación estandar. Ficheros passwd y shadow. pam_ldap: Autentiación contra directorios LDAP. pam_nologin: Encargado de la funcionalidad Unix nologin, que deshabilita la entrada de usuarios que no sean root. pam_env: Para asignar valores a variables de entorno. pam_unix_auth: Módulo de autenticación estandar.
Autenticación con LDAP LDAP: Lightweight Directory Access Protocol. LDAP es un protocol de acceso a un servicio de directorio. Basicamente es como una base de datos, pero organizado jerárquicamente y basado en atributos. Al usar autenticación LDAP, simplemente sustituimos las consultas sobre usuarios a la BD local (ficheros passwd y shadow) por consultas al servidor LDAP. PAM se encarga de ello.
Autenticación con LDAP El servicio de directorio LDAP se basa en un modelo cliente-servidor . Uno o más servidores LDAP contienen los datos que conforman el árbol del directorio LDAP o base de datos troncal. El cliente ldap se conecta con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta correspondiente, o bien con una indicación de dónde puede el cliente hallar más información (normalmente otro servidor LDAP).
Autenticación con LDAP El modelo de información de LDAP está basado en entradas. Una entrada es una colección de atributos que tienen un único y global Nombre Distinguido (DN). El DN se utiliza para referirse a una entrada sin ambigüedades. Cada atributo de una entrada posee un tipo y uno o más valores. Los tipos son normalmente palabras nemotécnicas, como “ cn ” para common name, o “mail” para una dirección de correo. La sintaxis de los atributos depende del tipo de atributo. Por ejemplo, un atributo cn puede contener el valor “Sergio González”.
Autenticación con LDAP En LDAP, las entradas están organizadas en una estructura jerárquica en árbol . Tradicionalmente, esta estructura reflejaba los límites geográficos y organizacionales. Las entradas que representan países aparecen en la parte superior del árbol. Debajo de ellos, están las entradas que representan los estados y las organizaciones nacionales.
Autenticación con LDAP Debajo de estás, pueden estar las entradas que representan las unidades organizacionales, empleados, impresoras, documentos o todo aquello que pueda imaginarse. En nuestro caso tenemos: dc=ex dc=instituto ou=People, ou=Groups
Autenticación con LDAP
Autenticación con LDAP Programa servidor: slapd Configuración: /etc/ldap/slapd.conf Para conocer todas las opciones: $man 5 slapd.conf Opciones importantes: replogfile: Fichero de logs del servidor. loglevel: Nivel de detalle en los logs. Dejar a 0 para mejorar el rendimiento. database: estilo de BD. Usamos ldbm.
Autenticación con LDAP Programa servidor: slapd Configuración: /etc/ldap/slapd.conf Opciones importantes: sufix: La base del directorio. directory: donde se almacena fisicamente la BD. access: indican permisos para diferentes acciones y usuarios.
Autenticación con LDAP Control de acceso. Indica: Atributos a los que se concede acceso. A que usuarios ser permite cada acceso. El tipo de acceso concedido. Vemos la configuración de los I.E.S.
Autenticación con LDAP Para importar y exportar información de directorio entre servidores de directorios basados en LDAP, o para describir una serie de cambios que han de aplicarse al directorio, se usa en general del fichero de formato conocido como LDIF (siglas de "LDAP interchange format", «formato de intercambio de LDAP»). Un fichero LDIF almacena información en jerarquías de entradas orientadas a objeto.
Autenticación con LDAP Fragmento de fichero ldif: dn: uid=root,ou=People,dc=elbrocense,dc=ex uid: root cn::cm9vdA== objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: {crypt}$1$btERS/EE$l6bMnEg3Yiyt4g0D7u6Yq. shadowLastChange: 12809 shadowMax: 99999
Autenticación con LDAP Ejemplo: preparación de un servidor alternativo de LDAP con una réplica del real. Parar slapd y sacar los datos de la BD actual, mediante slapcat. Editar el fichero ldif de forma que preserve un orden lógico en la creación de entradas. Esto es necesario porque no puedes añadir entradas hijas de entradas no creadas. Al usar muy poca ramificación en los IES, es facil hacer esto manualmente. Instalar slapd en el servidor alternativo y pararlo. Introducir los nuevos datos mediante slapadd.
Autenticación con LDAP Actualización del directorio en los I.E.S. Actualización por phpldapadmin Los cambios sólo se aplican al directorio LDAP. Acceso por web Actualización de la BD local de usuarios y grupos del servidor, y posterior migración de los datos al directorio LDAP. Los cambios se hacen en LDAP y en la BD local del servidor. Acceso por consola: migrar Actualizaciones de los usuarios al cambiar sus claves.
Autenticación con LDAP Actualización del directorio en los I.E.S. /usr/bin/migrar Script encargado de realizar la migración de datos de la BD local del servidor al directorio LDAP. Pasos: Construir ficheros ldif a partir de la BD de usuarios y grupos del servidor: migrate_passwd.pl y migrate_group.pl Hacer el trasvase de información al directorio LDAP: ldapadd, ldapmodify
Autenticación con LDAP Actualización del directorio en los I.E.S. /usr/bin/migrar Añade los nuevos usuarios creados. Añade los nuevos grupos creados. NO modifica los atributos de usuarios o grupos que ya estén creados. /usr/bin/migrar2 Cambio de ldapadd por ldapmodify en la migración de grupos, para aplicar los cambios. No en los usuarios, ya que se perderían los cambios de contraseña de los usuarios, hechos solo en LDAP mediante herramientas web.
Autenticación con LDAP Configuración en los clientes Instalación del software necesario. Antes de poder autenticar a los usuarios a través de un servidor LDAP, es necesario instalar algunas utilidades en el cliente, como pam_ldap y nss_ldap . pam_ldap permite hacer uso de un servidor LDAP para la autenticación de usuarios (comprobación de claves) a aquellas aplicaciones que utilicen PAM.
Autenticación con LDAP Configuración en los clientes Instalación del software necesario. nss-ldap permite a un servidor LDAP actuar como un servidor de nombres. Esto significa que provee la información de las cuentas de usuario, los IDs de los grupos, la información de la máquina, los alias, los grupos de red y básicamente cualquier cosa que normalmente se obtiene desde los archivos almacenados bajo /etc o desde un servidor NIS.
Autenticación con LDAP Configuración en los clientes /etc/nsswitch.conf nsswitch.conf es el fichero de configuración de las Bases de Datos del Sistema y del sistema de Conmutación de los Servicios de Nombres (Name Service Switch). En otras palabras, es un archivo que indica el orden y el procedimiento a seguir para la búsqueda de la información requerida, por ejemplo, para hacer búsquedas de usuarios y contraseñas.
Autenticación con LDAP Configuración en los clientes /etc/nsswitch.conf La forma de configurar este archivo es muy simple: Primero se especifica la base de datos sujeta a la búsqueda(primera columna) seguida del procedimiento que se va a emplear para realizar una búsqueda sobre la misma(columnas siguientes). De esta forma, basta con configurar el procedimiento de búsqueda para que haga uso de LDAP en algún momento: passwd: files ldap
Autenticación con LDAP Configuración en los clientes /etc/libnss-ldap.conf Configuración del servidor LDAP al que el cliente conectará. Opciones: host: Indica la dirección del servidor LDAP. base: Nombre distinguido de la base de búsqueda. ldap_version: Número de versión LDAP a usar. binddn: Nombre distinguido con el que hacer bind al servidor.
Autenticación con LDAP Configuración en los clientes /etc/libnss-ldap.conf Configuración del servidor LDAP al que el cliente conectará. Opciones: bindpw: Las credenciales con las que hacer bind . /etc/pam-ldap.conf Mismo contenido que libnss-ldap.conf Nueva opción: pam_password. Indica el cifrado a realizar por el cliente antes de enviar la contraseña.
Autenticación con LDAP Funcionamiento del protocolo LDAP Cliente -> Servidor BIND REQUEST Servidor -> Cliente BIND RESULT Cliente -> Servidor SEARCH REQUEST Servidor -> Cliente SEARCH ENTRY Servidor -> Cliente SEARCH RESULT Mas información: RFC 2251
Autenticación con LDAP Funcionamiento del protocolo LDAP Operación BIND. Sirve para conectar a un servidor LDAP. Normalmente protegemos el acceso al servidor LDAP, de modo que solo clientes que conocen la “bind password” (bindpw) pueden conectarse. Si el par usuario/contraseña suministrada al servidor no coincide con las credenciales definidas para hacer bind (en slapd.conf), no se permitirá el acceso.
Autenticación con LDAP Funcionamiento del protocolo LDAP Operación SEARCH REQUEST El cliente pide información al servidor Operación SEARCH ENTRY El servidor entrega información al cliente Operación SEARCH RESULT El servidor indica al cliente el resultado de la operación de búsqueda.
Seguridad física Servidor Lugar de acceso restringido No dejar sesiones abiertas, en caso de usar la consola. No usar X Eliminar cuentas inactivas (apagado1,...) Clientes Limitar el acceso a los usuarios que deben usar cada puesto -> no alumnos en puesto profesor
Seguridad física Clientes Instruir a los usuarios para no dejar sesiones abiertas Usar salvapantallas con contraseña por si esto no funciona No dar a los usuarios privilegios de administrador No permitir el uso de cuentas de grupo, como general No permitir acceso de root ni de Configuración en GDM AllowRoot=false ConfigAvailable=false
Seguridad física Clientes No permitir acceso de root desde las consolas /etc/securetty No permitir acceso de alumnos en ordenadores de profesor Fichero /etc/security/limits.conf @alumnos - maxlogins 0 Comprobar que el profesor tiene sesión abierta al enceder los alumnos comprueba_profesor_logged.sh
Seguridad física BIOS Desactivar arranque desde medios removibles Activar contraseña en la BIOS No muy seguro Contraseñas por defecto Eliminación de la contraseña reseteando la BIOS abriendo la caja
Seguridad física GRUB Activar la contraseña en GRUB para que sea necesario introducirla para editar las opciones de arranque Impide arrancar como root en modo single si el usuario conoce la contraseña de administrador pero no la de GRUB Impide el problema de de añadir init=/bin/sh a la linea de arranque para arrancar con una shell de root directamente
Seguridad física Contraseña de GRUB Ejecutar: # /sbin/grub-md5-crypt introducir una contraseña Devuelve un hash MD5 de la clave Editar menu.lst Añadir password --md5 <password-hash> debajo de la línea de timeout Ahora, antes de editar grub, pulsar 'p' para meter la clave
Asegurando PAM Tener un /etc/pam.d/other fuerte Este fichero se aplica a programas que no tienen fichero concreto Si configuramos los ficheros de todos los programas necesarios, este fichero no debería usarse nunca. Por ejemplo, un common-auth así: auth required pam_deny.so auth required pam_warn.so
Asegurando PAM Otra posibilidad menos paranoica es: auth required pam_unix.so auth required pam_warn.so De este modo, cuando una aplicación que no tenga configuración PAM específica se ejecute, quedará reflejados en los logs. Sería buena idea tener un common-passwd que no permita el cambio de contraseñas, de modo que controlemos los programas usados para realizar esta tarea.
Asegurando PAM Eliminar accesos sin contraseña No usar nullok en los módulos de autenticación, de modo que los usuarios que no tengan una contraseña puesta no pueda entrar al sistema Eliminar servicios no usados Es buena idea eliminar los ficheros de configuración de los servicios que no se usen, de modo que tengan que recaer en la configuración por defecto, más restrictiva.
Asegurando LDAP El acceso al servidor LDAP está restringido por la bind password, que permite iniciar el diálogo Las contraseñas actuales usadas en los I.E.S. son de dominio público, por lo que deberían cambiarse en cada I.E.S. para mejorar la seguridad. Para ello, es necesario: Cambiar la contraseña de cn=cliente (en phpmyadmin) Cambiar en los clientes /etc/libnss-ldap y /etc/pam-ldap la bind pw
Contraseñas seguras Riesgo de que usuarios no autorizados accedan a información confidencial si averiguan la contraseña de un usuario legítimo Es necesario que las contraseñas elegidas sean fuertes, y que no puedan ser sacadas por prueba y error Métodos Prevenir: Hacer que los usuarios usen herramientas para cambiar las contraseñas que implementen una pólitica sobre como deben ser las contraseñas.
Contraseñas seguras Métodos Curar: Usar herramientas que comprueban la calidad de las contraseñas elegidas intentando crackearlas. Uso del john the ripper Para que las contraseñas sean seguras, deben cumplir: Más de un determinado número de caracteres Usar números, letras y signos de puntuación. No hacer referencia a datos personales facilmente accesibles.
Contraseñas por defecto Algunos programas necesitan para funcionar usuarios locales en los clientes Aulalinex,... Las contraseñas por defecto que usan son de acceso público, por lo que cualquier atacante podría usarlas como punto de entrada al sistema Estas contraseñas deberían cambiarse para que no puedan ser usadas
Seguridad de ficheros y sistemas de ficheros No permitir programas SUID/SGID en los directorios de los usuarios Opción nosuid en /etc/fstab en /home También debemos usar: noexec: impide ejecución de programas Los usuarios deben pedir que el administrador instale los programas que desee. nodev: impide creación de ficheros de dispositivo.
Seguridad de ficheros y sistemas de ficheros Configurar en el servidor /etc/exports del modo más restrictivo posible Configurar, en /etc/exports, las opciones antes comentadas para el home local nosuid, nodev, noexec Los programas SUID son una amenaza para la seguridad Si un atacante explota un fallo en un programa que se ejecuta con privilegios de root, puede obtener una cuenta
Seguridad de ficheros y sistemas de ficheros La lista de programas SUID instalados en el sistema debe ser controlada Este comando encuentra todos los ficheros SUID/SGID instalados en el sistema: # find / -type f \( -perm -04000 -o -perm -02000 \) Los ficheros con acceso de escritura para todos pueden ser un riesgo, sobre todo en ficheros de sistema. Para encontrarlos todos: # find / -perm -2 ! -type l -ls
Seguridad de ficheros y sistemas de ficheros Los ficheros .rhosts son peligrosos, ya que permiten el acceso sin pedir contraseña, y no deberían estar permitidos. Para encontrarlos: # find /home -name .rhosts -print
Seguridad de ficheros y sistemas de ficheros Configurar los directorios personales de los usuarios con permisos sólo para el propietario. Configurar los directorios comunes con permisos solo para aquellos que deban usarlos Creación de grupos específicos para actividades concretas Usar la configuración de umask más restrictiva posible 0022 es la más usual, y es la que usamos por defecto, creando ficheros con permisos de lectura para el resto de los usuarios.
Seguridad de ficheros y sistemas de ficheros Instruir a los usuarios sobre el funcionamiento del sistema de usuarios, grupos y permisos. Instruir a los usuarios para que no apliquen permisos generales a sus ficheros cuando quieran compartirlos, si no sólo a los grupos necesarios.

Más contenido relacionado

ODP
Curso Redes Linex 3
Antonio Durán
 
ODP
Seminario Administradores Marzo 2006
Antonio Durán
 
ODP
Seminario Administradores Febrero 2007
Antonio Durán
 
PPT
Cuentas usuarios grupos LINUX
juanhuapaya
 
DOCX
mis primitos amados
tatiana erazo
 
PDF
Prácticas ximena narvaez
Xime Narvaez
 
PPTX
Victor Martínez
Víctor Martínez Azocar
 
DOCX
Gestionar usuarios y grupos en ubuntu 12
abraxas69
 
Curso Redes Linex 3
Antonio Durán
 
Seminario Administradores Marzo 2006
Antonio Durán
 
Seminario Administradores Febrero 2007
Antonio Durán
 
Cuentas usuarios grupos LINUX
juanhuapaya
 
mis primitos amados
tatiana erazo
 
Prácticas ximena narvaez
Xime Narvaez
 
Victor Martínez
Víctor Martínez Azocar
 
Gestionar usuarios y grupos en ubuntu 12
abraxas69
 

Similar a Curso Avanzado Seguridad Acceso (20)

ODP
Curso Redes Linex 3
Antonio Durán
 
PPT
03 asor gestión de usuarios y ldap
Juan Antonio Gil Martínez-Abarca
 
PDF
Autenticacion ldap
Elier Escobedo
 
PDF
Autenticacion ldap protocolo de usado por ad.pdf
dfjar1
 
PDF
Protocolo de autenticacion_ldap para directorio activo.pdf
dfjar1
 
PDF
Gestión de usuarios en GNU/Linux. Módulos de autenticación PAM
seguridadelinux
 
PPT
Nis Vs Ldap
Juan Bau
 
PPT
Nis Vs Ldap
Juan Bau
 
PPT
Ldap
Rene Godinez
 
PDF
Implementación de directorio Activo usando openLDAP en Ubuntu
danthology
 
ODP
Curso Basico Ponencia 678
Antonio Durán
 
PDF
Instalación y configuración de ldap server en Debian 8.7.1
Diego Montiel
 
PDF
Administracion de Sistemas
Laboratoire Hubert Curien UMR CNRS 5516
 
PDF
Manual ldap
omarhl2
 
ODP
Samba como PDC y autentificación LDAP
iesgrancapitan.org
 
PPTX
Proyecto miguel
tatianaincap17
 
PPTX
Proyecto miguel
tatianaincap17
 
PPTX
Proyecto miguel
tatianaincap17
 
PPTX
Proyecto miguel
Gerstephi
 
PPTX
Proyecto miguel
Gerstephi
 
Curso Redes Linex 3
Antonio Durán
 
03 asor gestión de usuarios y ldap
Juan Antonio Gil Martínez-Abarca
 
Autenticacion ldap
Elier Escobedo
 
Autenticacion ldap protocolo de usado por ad.pdf
dfjar1
 
Protocolo de autenticacion_ldap para directorio activo.pdf
dfjar1
 
Gestión de usuarios en GNU/Linux. Módulos de autenticación PAM
seguridadelinux
 
Nis Vs Ldap
Juan Bau
 
Nis Vs Ldap
Juan Bau
 
Ldap
Rene Godinez
 
Implementación de directorio Activo usando openLDAP en Ubuntu
danthology
 
Curso Basico Ponencia 678
Antonio Durán
 
Instalación y configuración de ldap server en Debian 8.7.1
Diego Montiel
 
Administracion de Sistemas
Laboratoire Hubert Curien UMR CNRS 5516
 
Manual ldap
omarhl2
 
Samba como PDC y autentificación LDAP
iesgrancapitan.org
 
Proyecto miguel
tatianaincap17
 
Proyecto miguel
tatianaincap17
 
Proyecto miguel
tatianaincap17
 
Proyecto miguel
Gerstephi
 
Proyecto miguel
Gerstephi
 
Publicidad

Más de Antonio Durán (20)

ODP
Curso Avanzado Seguridad Logs
Antonio Durán
 
ODP
Curso Basico Ponencia 1
Antonio Durán
 
ODP
Curso Avanzado Seguridad Redes
Antonio Durán
 
ODP
Curso Basico Ponencia 3
Antonio Durán
 
ODP
Curso Avanzado Seguridad Logs
Antonio Durán
 
ODP
Linex 04
Antonio Durán
 
ODP
Linex 05
Antonio Durán
 
ODP
Linex 03
Antonio Durán
 
ODP
Linex 04
Antonio Durán
 
ODP
Linex 02
Antonio Durán
 
ODP
Linex 01
Antonio Durán
 
ODP
Curso Redes Linex 4
Antonio Durán
 
ODP
Curso Redes Linex 2
Antonio Durán
 
ODP
Curso Redes Linex 5
Antonio Durán
 
ODP
Curso Redes Linex 1
Antonio Durán
 
ODP
Administracion Joomla Ies 1
Antonio Durán
 
ODP
Curso Bash 1
Antonio Durán
 
ODP
Curso Bash 3
Antonio Durán
 
ODP
Curso Bash 2
Antonio Durán
 
ODP
Curso Redes Linex 5
Antonio Durán
 
Curso Avanzado Seguridad Logs
Antonio Durán
 
Curso Basico Ponencia 1
Antonio Durán
 
Curso Avanzado Seguridad Redes
Antonio Durán
 
Curso Basico Ponencia 3
Antonio Durán
 
Curso Avanzado Seguridad Logs
Antonio Durán
 
Linex 04
Antonio Durán
 
Linex 05
Antonio Durán
 
Linex 03
Antonio Durán
 
Linex 04
Antonio Durán
 
Linex 02
Antonio Durán
 
Linex 01
Antonio Durán
 
Curso Redes Linex 4
Antonio Durán
 
Curso Redes Linex 2
Antonio Durán
 
Curso Redes Linex 5
Antonio Durán
 
Curso Redes Linex 1
Antonio Durán
 
Administracion Joomla Ies 1
Antonio Durán
 
Curso Bash 1
Antonio Durán
 
Curso Bash 3
Antonio Durán
 
Curso Bash 2
Antonio Durán
 
Curso Redes Linex 5
Antonio Durán
 
Publicidad

Curso Avanzado Seguridad Acceso

  • 1. Curso Avanzado de Administradores Seguridad en sistemas GNU/Linux: Acceso a sistemas Antonio Durán Terrés
  • 2. Contenidos Entrada al sistema de los usuarios Ficheros Unix Conceptos generales sobre PAM Autenticación con LDAP Asegurando la autenticación de usuarios Seguridad física PAM LDAP Contraseñas
  • 3. Ficheros Unix /etc/passwd Cuentas de los usuarios del sistema, incluyendo sus contraseñas si no se usan shadow passwords. Este fichero es legible por todos los usuarios /etc/shadow Contraseñas cifradas de los usuarios, si se usan shadow passwords. Este fichero solo es accesible para root
  • 4. Ficheros Unix /etc/passwd Cuentas de los usuarios del sistema, incluyendo sus contraseñas si no se usan shadow passwords. /etc/shadow Contraseñas cifradas de los usuarios, si se usan shadow passwords. En la actualidad, el algoritmo de cifrado de claves más usado es MD5, que obtiene a partir de la clave un hash de 16 bytes.
  • 5. Ficheros Unix En la actualidad, el algoritmo de cifrado de claves más usado es MD5, que obtiene a partir de la clave un hash de 16 bytes. El algorimto de hash es de sólo de ida, lo que significa que a partir del hash no se puede obtener la clave. Aunque en los sistemas GNU/Linux modernos siempre se activan por defecto contraseñas MD5, en algunas instalaciones de LDAP de los I.E.S. se usa crypt, que es un algoritmo mucho más débil
  • 6. Ficheros Unix El algorimto de hash es de sólo de ida, lo que significa que a partir del hash no se puede obtener la clave. Este mismo algoritmo se usa para verificar los paquetes que bajamos de Internet Aunque en los sistemas GNU/Linux modernos siempre se activan por defecto contraseñas MD5, en algunas instalaciones de LDAP de los I.E.S. se usa crypt, que es un algoritmo mucho más débil
  • 7. PAM PAM = Pluggable Authentication Modules Colección de librerías que permiten al administrador elegir como se autenticarán los usuarios. Permite cambiar la autenticación que usan las aplicaciones PAM sin necesidad de recompilarlas. Por ejemplo: login, gdm, etc.
  • 8. PAM Objetivo: separar el SW dedicado a otorgar privilegios del SW dedicado a desarrollar sistemas de autenticación seguros y apropiados. Configuración: Configuración basada en un solo fichero: /etc/pam.conf Configuración basada en directorios: /etc/pam.d/ Módulos: /lib/security
  • 9. PAM PAM trata con cuatro tipos de tareas: Gestión de autenticación Gestión de cuentas Gestión de sesiónes Gestión de contraseñas
  • 10. PAM En los I.E.S. se usa configuración basada en directorios Usa los ficheros de /etc/pam.d Cada fichero tiene el nombre de un servicio, que corresponde con la configuración para ese servicio. Formato de las líneas de cada fichero: tipo_modulo bandera_control path_modulo args
  • 11. PAM Configuración tipo_modulo Uno de los 4 tipos de módulos actuales: auth account session password
  • 12. PAM Tipos de módulo auth Proporciona dos aspectos de la autenticación de usuarios. Primero establece que el usuario es quien dice ser. Segundo, puede otorgar mebresías de grupo independientemente del fichero /etc/groups, u otros privilegios.
  • 13. PAM Tipos de módulo account. Se encarga de la gestión de cuentas no relacionada con la autenticación. Suele usarse para permitir/denegar accesos basandose en la hora/día, recursos del sistema disponibles o la localización del usuario (por ej: root sólo puede hacer login en la consola)
  • 14. PAM Tipos de módulo session. Principalmente este módulo se encarga de las cosas que se deben hacer por el usuario antes/después de que se le conceda el servicio. Estas actividades se refieren, por ejemplo, a la escritura de información de registro sobre la apetura/cierre de sesiones, el montaje de directorios, etc.
  • 15. PAM Tipos de módulo password. Es necesario para actualizar los tokens utilizados para la autenticación. Normalmente hay uno para cada módulo del tipo auth .
  • 16. PAM Configuración bandera de control Se utiliza para indicar como reaccionará la librería PAM al tener éxito o fracaso el módulo al que está asociada. Como los módulos pueden ser apilados, la bandera de control representa la importancia relativa de cada módulo. La aplicación no recibe el resultado de módulos individuales, sino sólo un resultado de la librería.
  • 17. PAM Configuración bandera de control 2 formas de especificar la bandera de control. Vemos sólo la simple (la que usamos en los IES). Representamos la bandera de control con una sola palabra que indica la severidad de un acierto o fracaso en el módulo. Las cuatro opciones son: required, requisite, sufficient, optional e include.
  • 18. PAM Configuración bandera de control required: Indica que es necesario el éxito de este módulo. requisite: como required, sin embargo si falla no se siguen ejecutando más modulos. suffcient: El éxito de éste módulo se considera como suficiente para conceder el permiso. optional: No es crítico para el éxito o fracaso de la aplicación.
  • 19. PAM Configuración bandera de control include: Indica al sistema PAM que incluya los contenidos del fichero indicado. path_modulo Ruta hacia el módulo. args Argumentos que se pasan al módulo.
  • 20. PAM Configuración Argumentos opcionales generales: debug: información de debug en los logs. no_warn: no dar mensajes de aviso a la aplicación. use_first_pass: El módulo no debe pedir una contraseña al usuario. En cambio, debe usar la contraseña introducida anteriormente en el primer módulo de tipo auth. Si no funciona, el acceso será denegado.
  • 21. PAM Configuración Argumentos opcionales generales: try_first_pass: El módulo debe intentar la autentiacción con la contraseña introducida anteriormente. Si no funciona, se pide otra contraseña al usuario. expose_account: da mas información al usuario sobre las cuentas.
  • 22. PAM Programas sin fichero asociado en pam.d/ En lugar de una entrada other en pamd.conf, hay un fichero other que incluye estos cuatro : common-account common-auth common-password common-session
  • 23. PAM Ejemplos de common-auth usados en los clientes Versión 1: auth sufficient pam_unix.so auth sufficient pam_ldap.so user_first_pass Versión 2: auth sufficient pam_unix.so auth required pam_ldap.so user_first_pass
  • 24. PAM Descripción de los módulos pam_unix: Módulo de autenticación estandar. Ficheros passwd y shadow. pam_ldap: Autentiación contra directorios LDAP. pam_nologin: Encargado de la funcionalidad Unix nologin, que deshabilita la entrada de usuarios que no sean root. pam_env: Para asignar valores a variables de entorno. pam_unix_auth: Módulo de autenticación estandar.
  • 25. Autenticación con LDAP LDAP: Lightweight Directory Access Protocol. LDAP es un protocol de acceso a un servicio de directorio. Basicamente es como una base de datos, pero organizado jerárquicamente y basado en atributos. Al usar autenticación LDAP, simplemente sustituimos las consultas sobre usuarios a la BD local (ficheros passwd y shadow) por consultas al servidor LDAP. PAM se encarga de ello.
  • 26. Autenticación con LDAP El servicio de directorio LDAP se basa en un modelo cliente-servidor . Uno o más servidores LDAP contienen los datos que conforman el árbol del directorio LDAP o base de datos troncal. El cliente ldap se conecta con el servidor LDAP y le hace una consulta. El servidor contesta con la respuesta correspondiente, o bien con una indicación de dónde puede el cliente hallar más información (normalmente otro servidor LDAP).
  • 27. Autenticación con LDAP El modelo de información de LDAP está basado en entradas. Una entrada es una colección de atributos que tienen un único y global Nombre Distinguido (DN). El DN se utiliza para referirse a una entrada sin ambigüedades. Cada atributo de una entrada posee un tipo y uno o más valores. Los tipos son normalmente palabras nemotécnicas, como “ cn ” para common name, o “mail” para una dirección de correo. La sintaxis de los atributos depende del tipo de atributo. Por ejemplo, un atributo cn puede contener el valor “Sergio González”.
  • 28. Autenticación con LDAP En LDAP, las entradas están organizadas en una estructura jerárquica en árbol . Tradicionalmente, esta estructura reflejaba los límites geográficos y organizacionales. Las entradas que representan países aparecen en la parte superior del árbol. Debajo de ellos, están las entradas que representan los estados y las organizaciones nacionales.
  • 29. Autenticación con LDAP Debajo de estás, pueden estar las entradas que representan las unidades organizacionales, empleados, impresoras, documentos o todo aquello que pueda imaginarse. En nuestro caso tenemos: dc=ex dc=instituto ou=People, ou=Groups
  • 31. Autenticación con LDAP Programa servidor: slapd Configuración: /etc/ldap/slapd.conf Para conocer todas las opciones: $man 5 slapd.conf Opciones importantes: replogfile: Fichero de logs del servidor. loglevel: Nivel de detalle en los logs. Dejar a 0 para mejorar el rendimiento. database: estilo de BD. Usamos ldbm.
  • 32. Autenticación con LDAP Programa servidor: slapd Configuración: /etc/ldap/slapd.conf Opciones importantes: sufix: La base del directorio. directory: donde se almacena fisicamente la BD. access: indican permisos para diferentes acciones y usuarios.
  • 33. Autenticación con LDAP Control de acceso. Indica: Atributos a los que se concede acceso. A que usuarios ser permite cada acceso. El tipo de acceso concedido. Vemos la configuración de los I.E.S.
  • 34. Autenticación con LDAP Para importar y exportar información de directorio entre servidores de directorios basados en LDAP, o para describir una serie de cambios que han de aplicarse al directorio, se usa en general del fichero de formato conocido como LDIF (siglas de &quot;LDAP interchange format&quot;, «formato de intercambio de LDAP»). Un fichero LDIF almacena información en jerarquías de entradas orientadas a objeto.
  • 35. Autenticación con LDAP Fragmento de fichero ldif: dn: uid=root,ou=People,dc=elbrocense,dc=ex uid: root cn::cm9vdA== objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: {crypt}$1$btERS/EE$l6bMnEg3Yiyt4g0D7u6Yq. shadowLastChange: 12809 shadowMax: 99999
  • 36. Autenticación con LDAP Ejemplo: preparación de un servidor alternativo de LDAP con una réplica del real. Parar slapd y sacar los datos de la BD actual, mediante slapcat. Editar el fichero ldif de forma que preserve un orden lógico en la creación de entradas. Esto es necesario porque no puedes añadir entradas hijas de entradas no creadas. Al usar muy poca ramificación en los IES, es facil hacer esto manualmente. Instalar slapd en el servidor alternativo y pararlo. Introducir los nuevos datos mediante slapadd.
  • 37. Autenticación con LDAP Actualización del directorio en los I.E.S. Actualización por phpldapadmin Los cambios sólo se aplican al directorio LDAP. Acceso por web Actualización de la BD local de usuarios y grupos del servidor, y posterior migración de los datos al directorio LDAP. Los cambios se hacen en LDAP y en la BD local del servidor. Acceso por consola: migrar Actualizaciones de los usuarios al cambiar sus claves.
  • 38. Autenticación con LDAP Actualización del directorio en los I.E.S. /usr/bin/migrar Script encargado de realizar la migración de datos de la BD local del servidor al directorio LDAP. Pasos: Construir ficheros ldif a partir de la BD de usuarios y grupos del servidor: migrate_passwd.pl y migrate_group.pl Hacer el trasvase de información al directorio LDAP: ldapadd, ldapmodify
  • 39. Autenticación con LDAP Actualización del directorio en los I.E.S. /usr/bin/migrar Añade los nuevos usuarios creados. Añade los nuevos grupos creados. NO modifica los atributos de usuarios o grupos que ya estén creados. /usr/bin/migrar2 Cambio de ldapadd por ldapmodify en la migración de grupos, para aplicar los cambios. No en los usuarios, ya que se perderían los cambios de contraseña de los usuarios, hechos solo en LDAP mediante herramientas web.
  • 40. Autenticación con LDAP Configuración en los clientes Instalación del software necesario. Antes de poder autenticar a los usuarios a través de un servidor LDAP, es necesario instalar algunas utilidades en el cliente, como pam_ldap y nss_ldap . pam_ldap permite hacer uso de un servidor LDAP para la autenticación de usuarios (comprobación de claves) a aquellas aplicaciones que utilicen PAM.
  • 41. Autenticación con LDAP Configuración en los clientes Instalación del software necesario. nss-ldap permite a un servidor LDAP actuar como un servidor de nombres. Esto significa que provee la información de las cuentas de usuario, los IDs de los grupos, la información de la máquina, los alias, los grupos de red y básicamente cualquier cosa que normalmente se obtiene desde los archivos almacenados bajo /etc o desde un servidor NIS.
  • 42. Autenticación con LDAP Configuración en los clientes /etc/nsswitch.conf nsswitch.conf es el fichero de configuración de las Bases de Datos del Sistema y del sistema de Conmutación de los Servicios de Nombres (Name Service Switch). En otras palabras, es un archivo que indica el orden y el procedimiento a seguir para la búsqueda de la información requerida, por ejemplo, para hacer búsquedas de usuarios y contraseñas.
  • 43. Autenticación con LDAP Configuración en los clientes /etc/nsswitch.conf La forma de configurar este archivo es muy simple: Primero se especifica la base de datos sujeta a la búsqueda(primera columna) seguida del procedimiento que se va a emplear para realizar una búsqueda sobre la misma(columnas siguientes). De esta forma, basta con configurar el procedimiento de búsqueda para que haga uso de LDAP en algún momento: passwd: files ldap
  • 44. Autenticación con LDAP Configuración en los clientes /etc/libnss-ldap.conf Configuración del servidor LDAP al que el cliente conectará. Opciones: host: Indica la dirección del servidor LDAP. base: Nombre distinguido de la base de búsqueda. ldap_version: Número de versión LDAP a usar. binddn: Nombre distinguido con el que hacer bind al servidor.
  • 45. Autenticación con LDAP Configuración en los clientes /etc/libnss-ldap.conf Configuración del servidor LDAP al que el cliente conectará. Opciones: bindpw: Las credenciales con las que hacer bind . /etc/pam-ldap.conf Mismo contenido que libnss-ldap.conf Nueva opción: pam_password. Indica el cifrado a realizar por el cliente antes de enviar la contraseña.
  • 46. Autenticación con LDAP Funcionamiento del protocolo LDAP Cliente -> Servidor BIND REQUEST Servidor -> Cliente BIND RESULT Cliente -> Servidor SEARCH REQUEST Servidor -> Cliente SEARCH ENTRY Servidor -> Cliente SEARCH RESULT Mas información: RFC 2251
  • 47. Autenticación con LDAP Funcionamiento del protocolo LDAP Operación BIND. Sirve para conectar a un servidor LDAP. Normalmente protegemos el acceso al servidor LDAP, de modo que solo clientes que conocen la “bind password” (bindpw) pueden conectarse. Si el par usuario/contraseña suministrada al servidor no coincide con las credenciales definidas para hacer bind (en slapd.conf), no se permitirá el acceso.
  • 48. Autenticación con LDAP Funcionamiento del protocolo LDAP Operación SEARCH REQUEST El cliente pide información al servidor Operación SEARCH ENTRY El servidor entrega información al cliente Operación SEARCH RESULT El servidor indica al cliente el resultado de la operación de búsqueda.
  • 49. Seguridad física Servidor Lugar de acceso restringido No dejar sesiones abiertas, en caso de usar la consola. No usar X Eliminar cuentas inactivas (apagado1,...) Clientes Limitar el acceso a los usuarios que deben usar cada puesto -> no alumnos en puesto profesor
  • 50. Seguridad física Clientes Instruir a los usuarios para no dejar sesiones abiertas Usar salvapantallas con contraseña por si esto no funciona No dar a los usuarios privilegios de administrador No permitir el uso de cuentas de grupo, como general No permitir acceso de root ni de Configuración en GDM AllowRoot=false ConfigAvailable=false
  • 51. Seguridad física Clientes No permitir acceso de root desde las consolas /etc/securetty No permitir acceso de alumnos en ordenadores de profesor Fichero /etc/security/limits.conf @alumnos - maxlogins 0 Comprobar que el profesor tiene sesión abierta al enceder los alumnos comprueba_profesor_logged.sh
  • 52. Seguridad física BIOS Desactivar arranque desde medios removibles Activar contraseña en la BIOS No muy seguro Contraseñas por defecto Eliminación de la contraseña reseteando la BIOS abriendo la caja
  • 53. Seguridad física GRUB Activar la contraseña en GRUB para que sea necesario introducirla para editar las opciones de arranque Impide arrancar como root en modo single si el usuario conoce la contraseña de administrador pero no la de GRUB Impide el problema de de añadir init=/bin/sh a la linea de arranque para arrancar con una shell de root directamente
  • 54. Seguridad física Contraseña de GRUB Ejecutar: # /sbin/grub-md5-crypt introducir una contraseña Devuelve un hash MD5 de la clave Editar menu.lst Añadir password --md5 <password-hash> debajo de la línea de timeout Ahora, antes de editar grub, pulsar 'p' para meter la clave
  • 55. Asegurando PAM Tener un /etc/pam.d/other fuerte Este fichero se aplica a programas que no tienen fichero concreto Si configuramos los ficheros de todos los programas necesarios, este fichero no debería usarse nunca. Por ejemplo, un common-auth así: auth required pam_deny.so auth required pam_warn.so
  • 56. Asegurando PAM Otra posibilidad menos paranoica es: auth required pam_unix.so auth required pam_warn.so De este modo, cuando una aplicación que no tenga configuración PAM específica se ejecute, quedará reflejados en los logs. Sería buena idea tener un common-passwd que no permita el cambio de contraseñas, de modo que controlemos los programas usados para realizar esta tarea.
  • 57. Asegurando PAM Eliminar accesos sin contraseña No usar nullok en los módulos de autenticación, de modo que los usuarios que no tengan una contraseña puesta no pueda entrar al sistema Eliminar servicios no usados Es buena idea eliminar los ficheros de configuración de los servicios que no se usen, de modo que tengan que recaer en la configuración por defecto, más restrictiva.
  • 58. Asegurando LDAP El acceso al servidor LDAP está restringido por la bind password, que permite iniciar el diálogo Las contraseñas actuales usadas en los I.E.S. son de dominio público, por lo que deberían cambiarse en cada I.E.S. para mejorar la seguridad. Para ello, es necesario: Cambiar la contraseña de cn=cliente (en phpmyadmin) Cambiar en los clientes /etc/libnss-ldap y /etc/pam-ldap la bind pw
  • 59. Contraseñas seguras Riesgo de que usuarios no autorizados accedan a información confidencial si averiguan la contraseña de un usuario legítimo Es necesario que las contraseñas elegidas sean fuertes, y que no puedan ser sacadas por prueba y error Métodos Prevenir: Hacer que los usuarios usen herramientas para cambiar las contraseñas que implementen una pólitica sobre como deben ser las contraseñas.
  • 60. Contraseñas seguras Métodos Curar: Usar herramientas que comprueban la calidad de las contraseñas elegidas intentando crackearlas. Uso del john the ripper Para que las contraseñas sean seguras, deben cumplir: Más de un determinado número de caracteres Usar números, letras y signos de puntuación. No hacer referencia a datos personales facilmente accesibles.
  • 61. Contraseñas por defecto Algunos programas necesitan para funcionar usuarios locales en los clientes Aulalinex,... Las contraseñas por defecto que usan son de acceso público, por lo que cualquier atacante podría usarlas como punto de entrada al sistema Estas contraseñas deberían cambiarse para que no puedan ser usadas
  • 62. Seguridad de ficheros y sistemas de ficheros No permitir programas SUID/SGID en los directorios de los usuarios Opción nosuid en /etc/fstab en /home También debemos usar: noexec: impide ejecución de programas Los usuarios deben pedir que el administrador instale los programas que desee. nodev: impide creación de ficheros de dispositivo.
  • 63. Seguridad de ficheros y sistemas de ficheros Configurar en el servidor /etc/exports del modo más restrictivo posible Configurar, en /etc/exports, las opciones antes comentadas para el home local nosuid, nodev, noexec Los programas SUID son una amenaza para la seguridad Si un atacante explota un fallo en un programa que se ejecuta con privilegios de root, puede obtener una cuenta
  • 64. Seguridad de ficheros y sistemas de ficheros La lista de programas SUID instalados en el sistema debe ser controlada Este comando encuentra todos los ficheros SUID/SGID instalados en el sistema: # find / -type f \( -perm -04000 -o -perm -02000 \) Los ficheros con acceso de escritura para todos pueden ser un riesgo, sobre todo en ficheros de sistema. Para encontrarlos todos: # find / -perm -2 ! -type l -ls
  • 65. Seguridad de ficheros y sistemas de ficheros Los ficheros .rhosts son peligrosos, ya que permiten el acceso sin pedir contraseña, y no deberían estar permitidos. Para encontrarlos: # find /home -name .rhosts -print
  • 66. Seguridad de ficheros y sistemas de ficheros Configurar los directorios personales de los usuarios con permisos sólo para el propietario. Configurar los directorios comunes con permisos solo para aquellos que deban usarlos Creación de grupos específicos para actividades concretas Usar la configuración de umask más restrictiva posible 0022 es la más usual, y es la que usamos por defecto, creando ficheros con permisos de lectura para el resto de los usuarios.
  • 67. Seguridad de ficheros y sistemas de ficheros Instruir a los usuarios sobre el funcionamiento del sistema de usuarios, grupos y permisos. Instruir a los usuarios para que no apliquen permisos generales a sus ficheros cuando quieran compartirlos, si no sólo a los grupos necesarios.