Aún no has entrado
Debe introducir al menos 3 caracteres en el buscador.
Guía de Seguridad del Administrador de Linux - Ficheros del sistema
(7 opiniones)
Tutorial de
Kurt Seifried - 16 de Febrero de 2006
Temas Relacionados:
Linux
4. Ficheros del sistema
/etc/passwd
El fichero de contraseñas es sin discusión el fichero más crítico en Linux (y en la mayoría de otros Unix). Contiene el mapa de nombres de usuarios, identificaciones de usuarios y la ID del grupo primario al que pertenece esa persona. También puede contener el fichero real, aunque es más probable (y mucho más seguro) que utilice contraseñas con shadow para mantener las contraseñas en /etc/shadow. Este fichero TIENE que ser legible por todo el mundo, o si no comandos tan simples como ls dejarían de funcionar correctamente. El campo GECOS puede contener datos tales como el nombre real, el número de teléfono y otro tipo de cosas parecidas en cuanto al usuario, su directorio personal, que es el directorio en que se coloca al usuario por defecto si hace un login interactivo, y el shell de login tiene que ser un shell interactivo (como bash, o un programa de menús), y estar listado en /etc/shells para que el usuario pueda hacer login. El formato es:
nombreusuario:contraseña_cifrada:UID:GID:campo_GECOS:direct_personal:login_shell
Las contraseñas se guardan utilizando un hash de un sólo sentido (el hash utilizado por defecto es crypt, las distribuciones más nuevas soportan MD5, que es significativamente más robusto). Las contraseñas no pueden obtenerse a partir de la forma cifrada, sin embargo, se puede tratar de encontrar una contraseña utilizando fuerza bruta para pasar por el hash cadenas de texto y compararlas, una vez que encuentres una que coincide, sabes que has conseguido la contraseña. Esto no suele ser un problema por sí mismo, el problema surge cuando los usuarios escogen claves que son fácilmente adivinables. Las encuestas más recientes han demostrado que el 25% de las contraseñas se pueden romper en menos de una hora, y lo que es peor es que el 4% de los usuarios utilizan su propio nombre como contraseña. Los campos en blanco en el campo de la contraseña se quedan vacíos, así que se vería "::", lo cual es algo crítico para los cuatro primeros campos (nombre, contraseña, uid y gid).
/etc/shadow
El fichero de shadow alberga pares de nombres de usuario y contraseñas, así como información contable, como la fecha de expiración, y otros campos especiales. Este fichero debería protegerse a toda costa, y sólo el root debería tener acceso de lectura a él.
/etc/groups
El fichero de grupos contiene toda la información de pertenencia a grupos, y opcionalmente elementos como la contraseña del grupo (generalmente almacenado en gshadow en los sistemas actuales), este fichero debe ser legible por el mundo para que el sistema funcione correctamente. El formato es:
nombregrupo:contraseña_cifrada:GID:miembro1,miembro2,miembro3
Un grupo puede no contener miembros (p. ej., no está usado), sólo un miembro o múltiples miembros, y la contraseña es opcional (y no se suele usar).
/etc/gshadow
Similar al fichero shadow de contraseñas, este fichero contiene los grupos, contraseñas y miembros. De nuevo, este fichero debería ser protegido a toda costa, y sólo el usuario root debería tener permiso de lectura al mismo.
/etc/login.defs
Este fichero (/etc/login.defs) te permite definir algunos valores por defecto para diferentes programas como useradd y expiración de contraseñas. Tiende a variar ligeramente entre distribuciones e incluso entre versiones, pero suele estar bien comentado y tiende a contener los valores por defecto.
/etc/shells
El fichero de shells contiene una lista de shells válidos, si el shell por defecto de un usuario no aparece listado aquí, quizás no pueda hacer login interactivamente. Mira la sección sobre Telnetd para más información.
/etc/securetty
Este fichero contiene una lista de tty’s desde los que el root puede hacer un login. Los tty’s de la consola suelen ir de /dev/tty1 a /dev/tty6. Los puertos serie (pongamos que quieres hacer login como root desde módem) son /dev/ttyS0 y superiores por lo general. Si quieres permitirle al root hacer login vía red (una muy mala idea, utiliza sudo) entonces añade /dev/ttyp1 y superiores (si hay 30 usuarios conectados y el root intenta conectar, el root aparecerá como procedente de /dev/ttyp31). Generalmente, sólo se debería permitir conectar al root desde /dev/tty1, y es aconsejable desabilitar la cuenta de root, sin embargo antes de hacer esto, por favor, instala sudo o un programa que permita al root acceder a comandos.
El fichero de contraseñas es sin discusión el fichero más crítico en Linux (y en la mayoría de otros Unix). Contiene el mapa de nombres de usuarios, identificaciones de usuarios y la ID del grupo primario al que pertenece esa persona. También puede contener el fichero real, aunque es más probable (y mucho más seguro) que utilice contraseñas con shadow para mantener las contraseñas en /etc/shadow. Este fichero TIENE que ser legible por todo el mundo, o si no comandos tan simples como ls dejarían de funcionar correctamente. El campo GECOS puede contener datos tales como el nombre real, el número de teléfono y otro tipo de cosas parecidas en cuanto al usuario, su directorio personal, que es el directorio en que se coloca al usuario por defecto si hace un login interactivo, y el shell de login tiene que ser un shell interactivo (como bash, o un programa de menús), y estar listado en /etc/shells para que el usuario pueda hacer login. El formato es:
nombreusuario:contraseña_cifrada:UID:GID:campo_GECOS:direct_personal:login_shell
Las contraseñas se guardan utilizando un hash de un sólo sentido (el hash utilizado por defecto es crypt, las distribuciones más nuevas soportan MD5, que es significativamente más robusto). Las contraseñas no pueden obtenerse a partir de la forma cifrada, sin embargo, se puede tratar de encontrar una contraseña utilizando fuerza bruta para pasar por el hash cadenas de texto y compararlas, una vez que encuentres una que coincide, sabes que has conseguido la contraseña. Esto no suele ser un problema por sí mismo, el problema surge cuando los usuarios escogen claves que son fácilmente adivinables. Las encuestas más recientes han demostrado que el 25% de las contraseñas se pueden romper en menos de una hora, y lo que es peor es que el 4% de los usuarios utilizan su propio nombre como contraseña. Los campos en blanco en el campo de la contraseña se quedan vacíos, así que se vería "::", lo cual es algo crítico para los cuatro primeros campos (nombre, contraseña, uid y gid).
/etc/shadow
El fichero de shadow alberga pares de nombres de usuario y contraseñas, así como información contable, como la fecha de expiración, y otros campos especiales. Este fichero debería protegerse a toda costa, y sólo el root debería tener acceso de lectura a él.
/etc/groups
El fichero de grupos contiene toda la información de pertenencia a grupos, y opcionalmente elementos como la contraseña del grupo (generalmente almacenado en gshadow en los sistemas actuales), este fichero debe ser legible por el mundo para que el sistema funcione correctamente. El formato es:
nombregrupo:contraseña_cifrada:GID:miembro1,miembro2,miembro3
Un grupo puede no contener miembros (p. ej., no está usado), sólo un miembro o múltiples miembros, y la contraseña es opcional (y no se suele usar).
/etc/gshadow
Similar al fichero shadow de contraseñas, este fichero contiene los grupos, contraseñas y miembros. De nuevo, este fichero debería ser protegido a toda costa, y sólo el usuario root debería tener permiso de lectura al mismo.
/etc/login.defs
Este fichero (/etc/login.defs) te permite definir algunos valores por defecto para diferentes programas como useradd y expiración de contraseñas. Tiende a variar ligeramente entre distribuciones e incluso entre versiones, pero suele estar bien comentado y tiende a contener los valores por defecto.
/etc/shells
El fichero de shells contiene una lista de shells válidos, si el shell por defecto de un usuario no aparece listado aquí, quizás no pueda hacer login interactivamente. Mira la sección sobre Telnetd para más información.
/etc/securetty
Este fichero contiene una lista de tty’s desde los que el root puede hacer un login. Los tty’s de la consola suelen ir de /dev/tty1 a /dev/tty6. Los puertos serie (pongamos que quieres hacer login como root desde módem) son /dev/ttyS0 y superiores por lo general. Si quieres permitirle al root hacer login vía red (una muy mala idea, utiliza sudo) entonces añade /dev/ttyp1 y superiores (si hay 30 usuarios conectados y el root intenta conectar, el root aparecerá como procedente de /dev/ttyp31). Generalmente, sólo se debería permitir conectar al root desde /dev/tty1, y es aconsejable desabilitar la cuenta de root, sin embargo antes de hacer esto, por favor, instala sudo o un programa que permita al root acceder a comandos.
Tabla de contenidos
- 1 - Cómo determinar qué asegurar y cómo asegurarlo
- 2 - Instalación segura de Linux
- 3 - Conceptos generales, servidores versus estaciones de trabajo, etc
- 4 - Ficheros del sistema
- 5 - Seguridad de Ficheros / Sistema de ficheros
- 6 - PAM
- 7 - Seguridad Física / de Arranque
- 8 - Seguridad de contraseñas
- 9 - Almacenamiento de Contraseñas
- 10 - Seguridad basica de servicios de red
- 11 - Ficheros basicos de configuración de red
- 12 - TCP-IP y seguridad de redes
- 13 - Seguridad PPP
- 14 - Seguridad IP (IPSec)
- 15 - Cifrado de servicios / datos
- 16 - Rutado
- 17 - Software de Proxy
- 18 - Cortafuegos
- 19 - Telnet
- 20 - SSH
- 21 - FTP
- 22 - HTTP / HTTPS
- 23 - SMTP
- 24 - POP
- 25 - IMAPD
- 26 - DNS
- 27 - NNTP
- 28 - DHCPD
- 29 - RSH, REXEC, RCP
- 30 - NFSD
- 31 - TFTP
- 32 - BOOTP
- 33 - SNMP
- 34 - Finger
- 35 - Identd
- 36 - NTPD
- 37 - CVS
- 38 - rsync
- 39 - lpd
- 40 - Samba
- 41 - Servidores LDAP Linux
- 42 - Sistema X Window
- 43 - Conectividad SNA
- 44 - Software de Autoridad de Certificación para Linux
- 45 - El kernel de Linux
- 46 - Parches de seguridad del kernel y del compilador
- 47 - Herramientas administrativas
- 48 - Gestión de Software
- 49 - Herramientas de monitorización de Hosts
- 50 - Ficheros de Log y otros métodos de monitorización
- 51 - Limitación y monitorización de usuarios
- 52 - Lista de comprobación para la conexión a Internet
- 53 - Métodos de compartición de ficheros
- 54 - Lectores de correo basados en WWW
- 55 - Autentificación Basada en Red
- 56 - Software de Listas de correo
- 57 - Escaneo / herramientas de prueba de intrusos
- 58 - Herramientas de escaneo y detección de intrusos
- 59 - Sniffers de Paquetes
- 60 - Normas de comportamiento / integridad de ficheros
- 61 - Gestión de auditorías
- 62 - Copias de Seguridad
- 63 - Enfrentandose a los ataques
- 64 - Ataques de Negación de Servicio
- 65 - Ejemplos de ataques
- 66 - Virus, Caballos de Troya y Gusanos
- 67 - Distribuciones seguras de Linux
- 68 - Información específica por Distribuidor / Vendedor
- 69 - Información de contacto con vendedores
- 70 - Programación segura
- 71 - Apéndice A: Libros y Revistas
- 72 - Apéndice B: Otra documentación de seguridad sobre Linux
- 73 - Apéndice C: Documentación de seguridad en línea
- 74 - Apéndice D: Sitios de seguridad en general
- 75 - Apéndice E: Sitios de Linux en general
Autor y licencia de 'Guía de Seguridad del Administrador de Linux - Ficheros del sistema'
|
Wikis relacionados con 'Guía de Seguridad del Administrador de Linux - Ficheros del sistema'
Este documento pretende introducir al usuario de GNU/Linux el conjunto de directrices establecidas por el...
Más »
Este documento pretende introducir al usuario de GNU/Linux el conjunto de directrices establecidas por el...
Más »
Este documento describe cómo usar el sistema de spooling para impresoras de líneas que provee...
Más »
El objetivo de este documento es mostrar las características básicas del Sistema de Ficheros Distribuido...
Más »
Un sistema informático utiliza ordenadores para almacenar datos, procesarlos y ponerlos a disposición de quien...
Más »
Gente Wiki
¿Quiénes Somos? |
Preguntas Frecuentes |
Condiciones de Uso |
Aviso Legal |
2007 Wikilearning |
Blog |
