Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Guía de Seguridad del Administrador de Linux - El kernel de Linux
(7 opiniones)
Tutorial de
Kurt Seifried - 16 de Febrero de 2006
Temas Relacionados:
Linux
45. El kernel de Linux
En realidad Linux (GNU/Linux según Stallman, si te estás refiriendo a una distribución Linux completa) tan sólo es el kernel del sistema operativo. El kernel es el corazón del sistema, maneja el acceso al disco duro, los mecanismos de seguridad, la red y casi todo. Más te vale que sea seguro o la has fastidiado.
Además de esto, hay problemas como el fallo F00F del Pentium, y problemas inherentes al protocolo TCP-IP, que el kernel de Linux ha podido eliminar. Las versiones del kernel van etiquetadas como X.Y.Z, siendo Z los números de revisiones menores, Y define si el kernel es una prueba (números impares) o de producción (número par), y X define si se trata de una revisión mayor (hasta ahora hemos tenido la 0, la 1 y la 2). Yo recomendaría encarecidamente ejecutar el kernel 2.2.x, puesto que a Julio de 1999 este es el 2.2.10. Las series del kernel 2.2.x tienen importantes mejoras sobre las series 2.0.x. Utilizar kernels 2.2.x también te permite tener acceso a nuevas características tales como ipchains (en lugar de ipfwadm) así como otras características de seguridad avanzadas. La serie 2.0.x ha quedado retirada oficialmente desde Junio de 1999.
Para saber cuál es la versión más reciente del kernel, simplemente haz un finger a @linux.kernel.org:
[seifried@mail kernel-patches]$ finger @linux.kernel.org[linux.kernel.org]
The latest stable version of the Linux kernel is: 2.2.12
The latest beta version of the Linux kernel is: 2.3.20
The latest prepatch (alpha) version *appears* to be: none
Actualización y Compilación del Kernel
La actualización del kernel consiste en conseguir un kernel y unos módulos nuevos, editando /etc/lilo.conf, volviendo a ejecutar lilo para escribir el nuevo MBR. El kernel se suele colocar en /boot, y los módulos van en /lib/modules/kernel.numero.version/.
Conseguir un kernel y módulos nuevos se puede hacer de dos formas diferentes, descargándo el paquete apropiado del kernel e instalándolo, o descargando el código fuente de ftp://ftp.kernel.org/∞ (por favor, utiliza un mirror), y compilándolo.
Compilar un kernel va todo seguido:
cd /usr/src
Debería de haber un symlink (enlace simbólico) llamado "linux" apuntando al directorio que contiene el kernel actual, bórralo si está ahí, si no está, no hay problema. Quizás quieras hacer un "mv" del directorio de linux a /usr/src/linux-kernel.version.number y crear un enlace apuntando a /usr/src/linux
Desempaqueta el código fuente utilizando tar y gzip según sea apropiado, de modo que ahora tienes un /usr/src/linux con aproximadamente 50 megabytes de código fuente dentro. El siguiente paso es crear una configuración del kernel de linux (/usr/src/linux.config), lo cual se puede conseguir mediante "make config", "make menuconfig" o "make xconfig", mi método preferido es "make menuconfig" (para lo cual necesitarás ncurses y ls librerías de desarrollo de ncurses). Este es discutiblemente el paso más difícil, hay cientos de opciones, que se pueden categorizar en dos áreas principales: soporte de hardware y soporte de servicios. En cuanto al soporte de hardware, haz una lista del hardware sobre el que se ejecutará el kernel (por ejemplo, P166, controladora Adaptec 2940 SCSI, tarjeta de red NE2000, etc.) y activa las opciones apropiadas. En cuanto al soporte de servicios, necesitarás imaginarte qué sistema de ficheros (fat, ext2, minix, etc) estás planeando utilizar, lo mismo en cuanto a la red (cortafuegos, etc.).
Una vez que hayas configurado el kernel, necesitas compilarlo, el siguiente comando crea las dependencias, asegurando que las librerías y demás se vayan construyendo en el órden apropiado, luego se limpia cualquier información de compilaciones anteriores, posteriormente se construye el kernel, los módulos y se instalan los módulos.
make dep (crea las dependencias)
make clean (elimina basura anterior)
make bzImage (make zImage casca si el kernel es demasiado grande, y los kernels 2.2.x tienden a ser bastante grandes)
make modules (crea todos los módulos que hayas especificado)
make modules_install (instala los módulos en /lib/modules/numero.version.kernel
Luego tienes que copiar /usr/src/linux/arch/i386/boot/bzImage (zImage) a /boot/vmlinuz-numero.version.kernel. Después edita /etc/lilo.conf, añadiendo una nueva entrada para el nuevo kernel y configurarlo como la imagen por defecto es la forma más segura (utilizando el comando default=x, si no arrancará el primer kernel de la lista), si falla puedes reiniciar y volver a la versión anterior del kernel que estaba funcionando.
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=50
default=linux
image=/boot/vmlinuz-2.2.9
label=linux
root=/dev/hda1
read-only
image=/boot/vmlinuz-2.2.5
label=linuxviejo
root=/dev/hda1
read-only
Una vez que termines de editar /etc/lilo.conf tienes que ejecutar /sbin/lilo para sobreescribir el MBR (Master Boot Record, el sector de arranque). Cuando se ejecuta lilo, mostrará una salida similar a:
Added linux *
Added linuxviejo
Sacará una lista de las imágenes que estén cargadas en el MBR e indicará con un * cuál es la imagen por defecto (lo normal es que por defecto cargue la primera imagen de la lista, a menos que se le especifique otra usando la directiva default ).
Versiones del Kernel
Actualmente la serie estable del kernel es la 2.2.x, y las series de desarrollo son las 2.3.x. Las series de desarrollo 2.1.x no son recomendadas, tienen muchos problemas e inconsistencias. La serie 2.0.x del kernel, aunque vieja y falta de algunas características, es relativamente sólida, pero por desgracia, la actualización de la 2.0.x a la 2.2.x es un paso bastante grande, recomendaría precaución. Hay que actualizar algunos paquetes de software, librerías, ppp, modutils y otras (viene descrito en los documentos del kernel / dependencias rpm, etc.). Puedes conservar el kernel antiguo, añadir una entrada en lilo.conf como "linuxviejo" o algo parecido, así podrás recuperarte con facilidad en caso de que el 2.2.x no funcionase como fuera de esperar. No pienses que la serie 2.2.x está libre de errores, a la 2.2.9 se le encontrarán fallos y quedará obsoleta, al igual que cualquier software del mundo.
Además de esto, hay problemas como el fallo F00F del Pentium, y problemas inherentes al protocolo TCP-IP, que el kernel de Linux ha podido eliminar. Las versiones del kernel van etiquetadas como X.Y.Z, siendo Z los números de revisiones menores, Y define si el kernel es una prueba (números impares) o de producción (número par), y X define si se trata de una revisión mayor (hasta ahora hemos tenido la 0, la 1 y la 2). Yo recomendaría encarecidamente ejecutar el kernel 2.2.x, puesto que a Julio de 1999 este es el 2.2.10. Las series del kernel 2.2.x tienen importantes mejoras sobre las series 2.0.x. Utilizar kernels 2.2.x también te permite tener acceso a nuevas características tales como ipchains (en lugar de ipfwadm) así como otras características de seguridad avanzadas. La serie 2.0.x ha quedado retirada oficialmente desde Junio de 1999.
Para saber cuál es la versión más reciente del kernel, simplemente haz un finger a @linux.kernel.org:
[seifried@mail kernel-patches]$ finger @linux.kernel.org[linux.kernel.org]
The latest stable version of the Linux kernel is: 2.2.12
The latest beta version of the Linux kernel is: 2.3.20
The latest prepatch (alpha) version *appears* to be: none
Actualización y Compilación del Kernel
La actualización del kernel consiste en conseguir un kernel y unos módulos nuevos, editando /etc/lilo.conf, volviendo a ejecutar lilo para escribir el nuevo MBR. El kernel se suele colocar en /boot, y los módulos van en /lib/modules/kernel.numero.version/.
Conseguir un kernel y módulos nuevos se puede hacer de dos formas diferentes, descargándo el paquete apropiado del kernel e instalándolo, o descargando el código fuente de ftp://ftp.kernel.org/∞ (por favor, utiliza un mirror), y compilándolo.
Compilar un kernel va todo seguido:
cd /usr/src
Debería de haber un symlink (enlace simbólico) llamado "linux" apuntando al directorio que contiene el kernel actual, bórralo si está ahí, si no está, no hay problema. Quizás quieras hacer un "mv" del directorio de linux a /usr/src/linux-kernel.version.number y crear un enlace apuntando a /usr/src/linux
Desempaqueta el código fuente utilizando tar y gzip según sea apropiado, de modo que ahora tienes un /usr/src/linux con aproximadamente 50 megabytes de código fuente dentro. El siguiente paso es crear una configuración del kernel de linux (/usr/src/linux.config), lo cual se puede conseguir mediante "make config", "make menuconfig" o "make xconfig", mi método preferido es "make menuconfig" (para lo cual necesitarás ncurses y ls librerías de desarrollo de ncurses). Este es discutiblemente el paso más difícil, hay cientos de opciones, que se pueden categorizar en dos áreas principales: soporte de hardware y soporte de servicios. En cuanto al soporte de hardware, haz una lista del hardware sobre el que se ejecutará el kernel (por ejemplo, P166, controladora Adaptec 2940 SCSI, tarjeta de red NE2000, etc.) y activa las opciones apropiadas. En cuanto al soporte de servicios, necesitarás imaginarte qué sistema de ficheros (fat, ext2, minix, etc) estás planeando utilizar, lo mismo en cuanto a la red (cortafuegos, etc.).
Una vez que hayas configurado el kernel, necesitas compilarlo, el siguiente comando crea las dependencias, asegurando que las librerías y demás se vayan construyendo en el órden apropiado, luego se limpia cualquier información de compilaciones anteriores, posteriormente se construye el kernel, los módulos y se instalan los módulos.
make dep (crea las dependencias)
make clean (elimina basura anterior)
make bzImage (make zImage casca si el kernel es demasiado grande, y los kernels 2.2.x tienden a ser bastante grandes)
make modules (crea todos los módulos que hayas especificado)
make modules_install (instala los módulos en /lib/modules/numero.version.kernel
Luego tienes que copiar /usr/src/linux/arch/i386/boot/bzImage (zImage) a /boot/vmlinuz-numero.version.kernel. Después edita /etc/lilo.conf, añadiendo una nueva entrada para el nuevo kernel y configurarlo como la imagen por defecto es la forma más segura (utilizando el comando default=x, si no arrancará el primer kernel de la lista), si falla puedes reiniciar y volver a la versión anterior del kernel que estaba funcionando.
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=50
default=linux
image=/boot/vmlinuz-2.2.9
label=linux
root=/dev/hda1
read-only
image=/boot/vmlinuz-2.2.5
label=linuxviejo
root=/dev/hda1
read-only
Una vez que termines de editar /etc/lilo.conf tienes que ejecutar /sbin/lilo para sobreescribir el MBR (Master Boot Record, el sector de arranque). Cuando se ejecuta lilo, mostrará una salida similar a:
Added linux *
Added linuxviejo
Sacará una lista de las imágenes que estén cargadas en el MBR e indicará con un * cuál es la imagen por defecto (lo normal es que por defecto cargue la primera imagen de la lista, a menos que se le especifique otra usando la directiva default ).
Versiones del Kernel
Actualmente la serie estable del kernel es la 2.2.x, y las series de desarrollo son las 2.3.x. Las series de desarrollo 2.1.x no son recomendadas, tienen muchos problemas e inconsistencias. La serie 2.0.x del kernel, aunque vieja y falta de algunas características, es relativamente sólida, pero por desgracia, la actualización de la 2.0.x a la 2.2.x es un paso bastante grande, recomendaría precaución. Hay que actualizar algunos paquetes de software, librerías, ppp, modutils y otras (viene descrito en los documentos del kernel / dependencias rpm, etc.). Puedes conservar el kernel antiguo, añadir una entrada en lilo.conf como "linuxviejo" o algo parecido, así podrás recuperarte con facilidad en caso de que el 2.2.x no funcionase como fuera de esperar. No pienses que la serie 2.2.x está libre de errores, a la 2.2.9 se le encontrarán fallos y quedará obsoleta, al igual que cualquier software del mundo.
Tabla de contenidos
- 1 - Cómo determinar qué asegurar y cómo asegurarlo
- 2 - Instalación segura de Linux
- 3 - Conceptos generales, servidores versus estaciones de trabajo, etc
- 4 - Ficheros del sistema
- 5 - Seguridad de Ficheros / Sistema de ficheros
- 6 - PAM
- 7 - Seguridad Física / de Arranque
- 8 - Seguridad de contraseñas
- 9 - Almacenamiento de Contraseñas
- 10 - Seguridad basica de servicios de red
- 11 - Ficheros basicos de configuración de red
- 12 - TCP-IP y seguridad de redes
- 13 - Seguridad PPP
- 14 - Seguridad IP (IPSec)
- 15 - Cifrado de servicios / datos
- 16 - Rutado
- 17 - Software de Proxy
- 18 - Cortafuegos
- 19 - Telnet
- 20 - SSH
- 21 - FTP
- 22 - HTTP / HTTPS
- 23 - SMTP
- 24 - POP
- 25 - IMAPD
- 26 - DNS
- 27 - NNTP
- 28 - DHCPD
- 29 - RSH, REXEC, RCP
- 30 - NFSD
- 31 - TFTP
- 32 - BOOTP
- 33 - SNMP
- 34 - Finger
- 35 - Identd
- 36 - NTPD
- 37 - CVS
- 38 - rsync
- 39 - lpd
- 40 - Samba
- 41 - Servidores LDAP Linux
- 42 - Sistema X Window
- 43 - Conectividad SNA
- 44 - Software de Autoridad de Certificación para Linux
- 45 - El kernel de Linux
- 46 - Parches de seguridad del kernel y del compilador
- 47 - Herramientas administrativas
- 48 - Gestión de Software
- 49 - Herramientas de monitorización de Hosts
- 50 - Ficheros de Log y otros métodos de monitorización
- 51 - Limitación y monitorización de usuarios
- 52 - Lista de comprobación para la conexión a Internet
- 53 - Métodos de compartición de ficheros
- 54 - Lectores de correo basados en WWW
- 55 - Autentificación Basada en Red
- 56 - Software de Listas de correo
- 57 - Escaneo / herramientas de prueba de intrusos
- 58 - Herramientas de escaneo y detección de intrusos
- 59 - Sniffers de Paquetes
- 60 - Normas de comportamiento / integridad de ficheros
- 61 - Gestión de auditorías
- 62 - Copias de Seguridad
- 63 - Enfrentandose a los ataques
- 64 - Ataques de Negación de Servicio
- 65 - Ejemplos de ataques
- 66 - Virus, Caballos de Troya y Gusanos
- 67 - Distribuciones seguras de Linux
- 68 - Información específica por Distribuidor / Vendedor
- 69 - Información de contacto con vendedores
- 70 - Programación segura
- 71 - Apéndice A: Libros y Revistas
- 72 - Apéndice B: Otra documentación de seguridad sobre Linux
- 73 - Apéndice C: Documentación de seguridad en línea
- 74 - Apéndice D: Sitios de seguridad en general
- 75 - Apéndice E: Sitios de Linux en general
Autor y licencia de 'Guía de Seguridad del Administrador de Linux - El kernel de Linux'
|
Wikis relacionados con 'Guía de Seguridad del Administrador de Linux - El kernel de Linux'
Pequeño monográfico que muestra características y pecularidades del Kernel para Linux.
Linux es en realidad un Kernel. Una distribución GNU/Linux es la mezcla de software GNU...
Más »
En este documento se presenta la información acerca de la instalación, configuración, ejecución y mantenimiento...
Más »
Esta es la primerísima edición del Linux en Castellano COMO. La audiencia a la que...
Más »
Este documento pretende ser el punto de entrada de los hispanohablantes al mundo Linux, intentando...
Más »
Gente Wiki
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
2007 Wikilearning |
Blog |
