Buscar
Capitulos de este wiki
  1. 1 Cómo determinar qué asegurar y cómo asegurarlo
  2. 2 Instalación segura de Linux
  3. 3 Conceptos generales, servidores versus estaciones de trabajo, etc
  4. 4 Ficheros del sistema
  5. 5 Seguridad de Ficheros / Sistema de ficheros
  6. 6 PAM
  7. 7 Seguridad Física / de Arranque
  8. 8 Seguridad de contraseñas
  9. 9 Almacenamiento de Contraseñas
  10. 10 Seguridad basica de servicios de red
  11. 11 Ficheros basicos de configuración de red
  12. 12 TCP-IP y seguridad de redes
  13. 13 Seguridad PPP
  14. 14 Seguridad IP (IPSec)
  15. 15 Cifrado de servicios / datos
  16. 16 Rutado
  17. 17 Software de Proxy
  18. 18 Cortafuegos
  19. 19 Telnet
  20. 20 SSH
  21. 21 FTP
  22. 22 HTTP / HTTPS
  23. 23 SMTP
  24. 24 POP
  25. 25 IMAPD
  26. 26 DNS
  27. 27 NNTP
  28. 28 DHCPD
  29. 29 RSH, REXEC, RCP
  30. 30 NFSD
  31. 31 TFTP
  32. 32 BOOTP
  33. 33 SNMP
  34. 34 Finger
  35. 35 Identd
  36. 36 NTPD
  37. 37 CVS
  38. 38 rsync
  39. 39 lpd
  40. 40 Samba
  41. 41 Servidores LDAP Linux
  42. 42 Sistema X Window
  43. 43 Conectividad SNA
  44. 44 Software de Autoridad de Certificación para Linux
  45. 45 El kernel de Linux
  46. 46 Parches de seguridad del kernel y del compilador
  47. 47 Herramientas administrativas
  48. 48 Gestión de Software
  49. 49 Herramientas de monitorización de Hosts
  50. 50 Ficheros de Log y otros métodos de monitorización
  51. 51 Limitación y monitorización de usuarios
  52. 52 Lista de comprobación para la conexión a Internet
  53. 53 Métodos de compartición de ficheros
  54. 54 Lectores de correo basados en WWW
  55. 55 Autentificación Basada en Red
  56. 56 Software de Listas de correo
  57. 57 Escaneo / herramientas de prueba de intrusos
  58. 58 Herramientas de escaneo y detección de intrusos
  59. 59 Sniffers de Paquetes
  60. 60 Normas de comportamiento / integridad de ficheros
  61. 61 Gestión de auditorías
  62. 62 Copias de Seguridad
  63. 63 Enfrentandose a los ataques
  64. 64 Ataques de Negación de Servicio
  65. 65 Ejemplos de ataques
  66. 66 Virus, Caballos de Troya y Gusanos
  67. 67 Distribuciones seguras de Linux
  68. 68 Información específica por Distribuidor / Vendedor
  69. 69 Información de contacto con vendedores
  70. 70 Programación segura
  71. 71 Apéndice A: Libros y Revistas
  72. 72 Apéndice B: Otra documentación de seguridad sobre Linux
  73. 73 Apéndice C: Documentación de seguridad en línea
  74. 74 Apéndice D: Sitios de seguridad en general
  75. 75 Apéndice E: Sitios de Linux en general

Guía de Seguridad del Administrador de Linux - Sistema X Window

42 - Sistema X Window


Tutorial creado por Kurt Seifried . Extraido de: http://es.tldp.org/Manuales-LuCAS/GSAL/gsal-19991128-htm/
16 Febrero 2006
< anterior | 1 .. 40 41 42 43 44 .. 75 | siguiente >
El sistema X Window proporciona un método transparente a red de compartir datos gráficos, o más específicamente de exportar el display de un programa a un host remoto (o local). Utilizándolo se puede ejecutar un potente paquete de renderizado 3D de una SGI origin 2000 y mostrarlos en un 486. En esencia, es el abuelito de todos estos "delgados clientes" que se están haciendo bastante populares hoy en la actualidad. Se creó en el MIT, durante una época en la que la seguridad no era un asunto que preocupase demasiado. Esto, por supuesto, ha llevado a más de un bug desagradable. Peor incluso, el nivel de control que se le ha dado a X (maneja pulsaciones de teclado, movimientos de ratón, dibuja la pantalla, etc.) significa que si se compromete pueden ocurrir cosas muy desagradables. Estos datos, si se envían sobre la red (p. ej., el programa X que se ejecuta se está mostrando en un host remoto) se pueden registrar en logs con facilidad, de modo que la información sensible (como un xterm que esté siendo utilizado para hacer login en otro sistema remoto) es vulnerable. Además de estos problemas, el protocolo de autentificación que utiliza X es relativamente débil (aunque se ha mejorado). Ejecutarlo en una sesión gráfica de xemacs en un servidor situado 3 zonas horarias más lejos puede ser algo bastante útil.

El X es bastante predecible en cuanto al uso de puertos, casi todas las implementaciones

e instalaciones de X utilizan el puerto 6000 para la primera sesión, e incrementan en uno

para otras sesiones, lo cual lo hace bastante sencillo de escanear. Si no se va a utilizar el

X para mostrar un programa ejecutándose en sistemas remotos, sugeriría que se filtrase

el puerto 6000 con el cortafuegos.

ipfwadm –I –a accept –P tcp –S 10.0.0.0/8 –D 0.0.0.0/0 6000:6100

ipfwadm –I –a accept –P tcp –S un.host.fiable –D 0.0.0.0/0 6000:6100

ipfwadm –I –a deny –P tcp –S 0.0.0.0/0 –D 0.0.0.0/0 6000:6100

o

ipchains –A input –p tcp –j ACCEPT –s 10.0.0.0/8 –d 0.0.0.0/0 6000:6100

ipchains –A input –p tcp –j ACCEPT –s un.host.fiable –d 0.0.0.0/0 6000:6100

ipchains –A input –p tcp –j DENY –s 0.0.0.0/0 –d 0.0.0.0/0 6000:6100

El control sobre lo que está permitido ejecutar al servidor X se puede hacer de

diferentes formas.



xhost

El xhost te permite especificar a qué máquinas se le permite o no conectar al servidor X,

es un mecanismo de seguridad bastante simplicista, y no es apropiado en cualquier entorno moderno, sin embargo, si se utiliza en conjunción con otros mecanismos, puede ayudar. El comando es bastante simple: "xhost +nombredehost.com" añade nombredehost.com, "xhost –hostname.com" elimina nombredehost.com de la lista, es necesario especificar "xhost –" para activar la lista de control de accesos, o si no por defecto se le dejará entrar a cualquiera.



mkxauth

Definitivamente, el mkxauth es un paso adelante desde xhost. El mkxauth ayuda a crear ficheros ~/.Xauthority, y juntarlos, lo cual se utiliza para especificar nombres de hosts y las magic cookies relativas. Estas cookies se pueden utilizar para conseguir acceso a un host X remoto (en esencia, cada extremo tiene una copia de la cookie) y se transmiten bien en texto plano (inseguro) o cifrado con DES (bastante seguro). Utilizando este método se puede estar relativamente a salvo y seguro. Los ficheros Xauthority también se pueden utilizar en conjunción con Kerberos, eliminando la necesidad de copiar los ficheros Xauthority y manteniéndolos sincronizados. Los hosts se autentifican entre sí a través de un servidor central de llaves Kerberos de forma cifrada, este método es apropiado para la mayoría de grandes instalaciones/etc. El mkxauth tiene una página de manual excelente "man mkxauth" y se pueden obtener detalles generalizados disponibles en la página del manual del Xsecurity (no estoy seguro de lo común que es el nombre de esta página) "man Xsecurity".
< anterior | 1 .. 40 41 42 43 44 .. 75 | siguiente >

Anuncios Google

Autor y licencia de 'Guía de Seguridad del Administrador de Linux'


Tutorial de Kurt Seifried . Extraido de: http://es.tldp.org/Manuales-LuCAS/GSAL/gsal-19991128-htm/ CopyLeft
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.