Debe introducir al menos 3 caracteres en el buscador.
Inicio / Wikis / Tutoriales / Seguridad en Unix y redes - Usuarios y accesos al sistema (I)

Seguridad en Unix y redes - Usuarios y accesos al sistema (I)

 ****- (7 opiniones)
GNU Free Documentation License Tutorial de Antonio Villalón Huerta - 28 de Febrero de 2006
Temas Relacionados: Seguridad informática
59. Usuarios y accesos al sistema (I)
Como vamos a ver en esta sección, AIX ofrece un sistema de control de accesos y gestión de usuarios realmente interesante; al igual que en cualquier entorno Unix, nada más instalar el operativo ya existen una serie de usuarios `del sistema' (root, daemon, sys...). Todos ellos tienen en realidad las cuentas bloqueadas ya que el campo reservado a su contraseña en /etc/security/passwd es un asterisco, aunque una orden como `lsuser' nos diga lo contrario:

bruja:/# lsuser -a account_locked ALL root account_locked=false daemon account_locked=false bin account_locked=false sys account_locked=false adm account_locked=false uucp account_locked=false guest account_locked=false nobody account_locked=false lpd account_locked=false imnadm account_locked=false nuucp account_locked=false bruja:/#

Si necesitamos que la cuenta de un determinado usuario se bloquee temporalmente pero no queremos sustituir su clave del fichero de contraseñas por un asterisco, podemos ejecutar la orden `chuser'12.1:

bruja:/# lsuser -a account_locked toni toni account_locked=false bruja:/# chuser account_locked=true toni bruja:/# lsuser -a account_locked toni toni account_locked=true bruja:/#

La gestión y el control de los accesos al sistema por parte de usuarios se puede llevar a cabo desde diferentes ficheros del directorio /etc/security/: por ejemplo, en el archivo user se definen los diferentes atributos de cada usuario del sistema, desde las propiedades de envejecimiento de su contraseña a las franjas horarias en que el usuario pueden acceder a la máquina; vamos a ver en los siguientes puntos algunos de estos archivos, interesantes para definir o refinar parámetros relacionados con la seguridad de nuestro sistema.


El fichero /etc/security/.ids


El nombre de este archivo quizás nos puede inducir a pensar que se trata de algo relacionado con la detección de intrusos en nuestra máquina; nada más lejos de la realidad: en el fichero .ids se almacena información necesaria para generar correctamente a nuevos usuarios. Su formato es similar al siguiente:

bruja:/etc/security# cat .ids 8 210 11 205 bruja:/etc/security#

Donde `8' y `11' indican los siguientes UID y GID (respectivamente) disponibles para usuarios con privilegios administrativos, mientras que `210' y `205' son equivalentes pero para usuarios sin dichos privilegios.
A no ser que conozcamos muy bien el sistema, no es recomendable modificar manualmente este archivo, ya que las herramientas de gestión de usuarios lo actualizan de forma automática; de cualquier forma, aquí lo citamos para evitar confusiones con su nombre, como hemos comentado al principio.

El fichero /etc/security/passwd


Al contrario de lo que sucede con el archivo .ids, el nombre del fichero passwd no da lugar a equivocaciones: se trata, evidentemente, de información sobre las claves de los usuarios del sistema. Esta información puede estar desajustada con respecto a la contenida en /etc/passwd, por lo que es recomendable ejecutar periódicamente - al menos una vez al mes - órdenes como pwdck, usrck o grpck, encargadas de verificar, comparar y sincronizar la información de los usuarios (definiciones, grupos y autenticación) en las diferentes tablas que AIX mantiene:

bruja:/# pwdck -y ALL The user "daemon" has an invalid password field in /etc/passwd. The user "toni" has an invalid password field in /etc/passwd. bruja:/# usrck -n ALL User daemon is locked. User bin is locked. User sys is locked. User nobody is locked. User lpd is locked. User imnadm is locked. bruja:/#

Tras sincronizar correctamente la información de los usuarios (parámetro `-y' de estas órdenes), en /etc/passwd nos encontraremos el carácter `!' en el campo reservado a la contraseña cifrada de cada entrada, mientras que las claves reales ya estarán en /etc/security/passwd. Este fichero ha de ser de sólo lectura para el administrador: es en cierta forma similar al /etc/shadow clásico de otros Unices; no obstante, difiere enormemente de él en el formato del archivo, ya que no utiliza una entrada por línea con los campos separados por el carácter `:'. Por contra, en AIX cada usuario tiene definidos una serie de campos, uno por línea, y con el identificador del campo y su contenido separados por un signo `='; por ejemplo, la entrada para el usuario `oracle' en /etc/security/passwd podría ser similar a la siguiente:

oracle: password = be3a2NjB.dtbg lastupdate = 995301219 flags =

El primer campo representa obviamente la contraseña cifrada del usuario; el segundo representa el la fecha y hora de la última actualización del conjunto de atributos (denominado `stanza') del usuario, y finalmente el campo `flags', por defecto vacío, puede contener una serie de parámetros característicos del usuario concreto: si se trata de un usuario con cierto privilegio, si no necesita contraseña para conectar al sistema...; para obtener más información sobre estos parámetros podemos consultar la página del manual de `pwdck'.

El fichero /etc/security/failedlogin


Como su nombre indica, en este fichero se registran los intentos fallidos de acceso al sistema; su formato no es de texto plano, sino que es similar a los ficheros wtmp de AIX y otros sistemas Unix. Por tanto, para visualizar el contenido de este archivo necesitamos ejecutar órdenes como `last' o `who' con los parámetros adecuados:

bruja:/# who -s /etc/security/failedlogin |tail -3 oracle pts/24 Sep 5 12:55 (luisa) UNKNOWN_ dtlogin/_0 Sep 12 11:01 toni pts/23 Sep 13 15:45 (anita) bruja:/#

El fichero /etc/security/lastlog


En el archivo /etc/security/lastlog de un sistema AIX, un fichero de texto plano que poco tiene que ver con el formato del `lastlog' de otros Unices, se encuentra almacenada información relativa a la última conexión - o intento de conexión - de cada usuario de la máquina; en concreto, aparecen referencias a la hora, terminal y host origen de la última entrada al sistema y del último intento de acceso.
Cuando un usuario es creado mediante mkuser (o equivalentemente, vía SMIT) se crea una stanza vacía para el mismo en este archivo cuyos campos se irán rellenando a medida que el usuario acceda al sistema; esta stanza puede ser similar a la siguiente:
toni: time_last_login = 1005297794 tty_last_login = ttyp0 host_last_login = anita unsuccessful_login_count = 0 time_last_unsuccessful_login = 1004445794 tty_last_unsuccessful_login = /dev/pts/14 host_last_unsuccessful_login = luisa

Como podemos ver, el nombre de cada campo es autoexplicativo de su función; el único que quizás puede plantear alguna duda es unsuccessful_login_count, que no es más que un contador que indica el número de intentos de acceso fallidos desde la última entrada al sistema.
Para consultar los parámetros de cada usuario almacenados en este archivo no es necesario editar o visualizar el fichero: mediante la orden lsuser podemos obtener el valor de cada uno de ellos; si por ejemplo nos interesa el nombre de la máquina desde la que el usuario toni accedió por última vez al sistema, podemos conseguirlo de esta forma:
bruja:/# lsuser -a host_last_login toni toni host_last_login=anita bruja:/#

El fichero /etc/security/limits


En este archivo se definen límites a algunos de los recursos que ofrece un entorno de trabajo AIX; como muchos de los archivos del directorio, contiene una stanza que se aplica por defecto y luego entradas - vacías por lo general - para cada usuario, en las que se pueden personalizar parámetros que sólo se aplican a uno o varios usuarios y no a todos (generalmente se definen al crear al usuario). Las diferentes directivas del archivo son las siguientes:

  • fsize
    Tamaño máximo de un archivo en bloques de 512 bytes.
  • core
    Tamaño máximo de un fichero core (volcado de memoria) en bloques de 512 bytes.
  • cpu
    Tiempo límite de CPU por proceso, especificado en segundos. Por defecto no está establecido para ningún usuario.
  • data
    Límite de tamaño del segmento de datos de un proceso del usuario, en bloques de 512 bytes.
  • stack
    Límite de tamaño de la pila de un proceso en bloques de 512 bytes.
  • rss
    Límite del tamaño de memoria utilizada por proceso, en bloques de 512 bytes.
  • nofiles
    Número máximo de descriptores de fichero abiertos.

Cada uno de los límites anteriores es un límite soft (blando) que el usuario puede sobrepasar si lo desea, modificando su valor mediante la orden ulimit; existen, definidos en el mismo archivo, límites hard (duros) que el usuario no puede incrementar de ninguna forma. El nombre de cada uno de ellos es el mismo que el de su equivalente soft pero añadiéndole la coletilla `_hard': fsize_hard, rss_hard,etc.
Podemos ver los límites aplicables a uno o más usuarios mediante la orden `lsuser' (un valor de `-1' indica que se trata de un recurso no limitado al usuario en cuestión):
bruja:/# lsuser -f -a fsize core cpu data stack rss nofiles toni toni: fsize=2097151 core=2097151 cpu=-1 data=262144 stack=65536 rss=65536 nofiles=2000 bruja:/#

Por defecto, AIX ofrece unos límites bastante razonables a los recursos que cada usuario puede consumir; no obstante, en función de para qué se utilice cada sistema concreto, es recomendable que sea el administrador el que deba especificar qué limites impone a los usuarios sobre los recursos de la máquina para prevenir negaciones de servicio contra los mismos.
Tabla de contenidos
  1. 1 - Introducción y conceptos previos
  2. 2 - Sobre la seguridad
  3. 3 - Sobre las redes
  4. 4 - Seguridad física de los sistemas
  5. 5 - Protección del hardware
  6. 6 - Protección de los datos
  7. 7 - Radiaciones electromagnéticas
  8. 8 - Administradores, usuarios y personal
  9. 9 - Ataques potenciales
  10. 10 - Qué hacer ante estos problemas
  11. 11 - El atacante interno
  12. 12 - El sistema de ficheros
  13. 13 - Sistemas de ficheros
  14. 14 - Permisos de un archivo
  15. 15 - Los bits SUID, SGID y sticky
  16. 16 - Atributos de un archivo
  17. 17 - Listas de control de acceso: ACLs
  18. 18 - Recuperación de datos
  19. 19 - Almacenamiento seguro
  20. 20 - Programas seguros, inseguros y nocivos
  21. 21 - La base fiable de cómputo
  22. 22 - Errores en los programas
  23. 23 - Fauna y otras amenazas
  24. 24 - Programación segura
  25. 25 - Auditoría del sistema
  26. 26 - El sistema de log en Unix
  27. 27 - El demonio syslogd
  28. 28 - Algunos archivos de log
  29. 29 - Logs remotos
  30. 30 - Registros físicos
  31. 31 - Copias de seguridad
  32. 32 - Dispositivos de almacenamiento
  33. 33 - Algunas órdenes para realizar copias de seguridad
  34. 34 - Políticas de copias de seguridad
  35. 35 - Autenticación de usuarios
  36. 36 - Sistemas basados en algo conocido: contraseñas
  37. 37 - Sistemas basados en algo poseído: tarjetas inteligentes
  38. 38 - Sistemas de autenticación biométrica
  39. 39 - Autenticación de usuarios en Unix: autenticación clasi
  40. 40 - Autenticación de usuarios en Unix: mejora de la seguridad (II)
  41. 41 - PAM
  42. 42 - Solaris
  43. 43 - Seguridad física en SPARC
  44. 44 - Servicios de red
  45. 45 - Usuarios y accesos al sistema
  46. 46 - El sistema de parcheado
  47. 47 - Extensiones de la seguridad
  48. 48 - El subsistema de red
  49. 49 - Parametros del núcleo
  50. 50 - Linux
  51. 51 - Seguridad física en x86
  52. 52 - Usuarios y accesos al sistema
  53. 53 - El sistema de parcheado
  54. 54 - El subsistema de red
  55. 55 - El núcleo de Linux
  56. 56 - AIX
  57. 57 - Seguridad física en RS/6000
  58. 58 - Servicios de red
  59. 59 - Usuarios y accesos al sistema (I)
  60. 60 - Usuarios y accesos al sistema (II)
  61. 61 - El sistema de log
  62. 62 - El sistema de parcheado
  63. 63 - Extensiones de la seguridad: filtros IP
  64. 64 - El subsistema de red
  65. 65 - HP-UX
  66. 66 - Seguridad física en PA-RISC
  67. 67 - Usuarios y accesos al sistema
  68. 68 - El sistema de parcheado
  69. 69 - Extensiones de la seguridad
  70. 70 - El subsistema de red
  71. 71 - El núcleo de HP-UX
  72. 72 - Seguridad de la subred: el sistema de red
  73. 73 - Algunos ficheros importantes
  74. 74 - Algunas órdenes importantes
  1. 75 - Servicios
  2. 76 - Algunos servicios y protocolos
  3. 77 - Servicios basicos de red
  4. 78 - El servicio FTP
  5. 79 - El servicio TELNET
  6. 80 - El servicio SMTP
  7. 81 - Servidores WWW
  8. 82 - Los servicios r-
  9. 83 - XWindow
  10. 84 - Cortafuegos: Conceptos teóricos
  11. 85 - Características de diseño
  12. 86 - Componentes de un cortafuegos
  13. 87 - Arquitecturas de cortafuegos
  14. 88 - Firewall-1
  15. 89 - ipfwadm/ipchains/iptables
  16. 90 - IPFilter
  17. 91 - PIX Firewall (I)
  18. 92 - PIX Firewall (II)
  19. 93 - Escaneos de puertos
  20. 94 - Spoofing
  21. 95 - Negaciones de servicio
  22. 96 - Interceptación
  23. 97 - Ataques a aplicaciones
  24. 98 - Sistemas de detección de intrusos
  25. 99 - Clasificación de los IDSes
  26. 100 - Requisitos de un IDS
  27. 101 - IDSes basados en maquina
  28. 102 - IDSes basados en red
  29. 103 - Detección de anomalías
  30. 104 - Detección de usos indebidos
  31. 105 - Implementación real de un IDS (I)
  32. 106 - Implementación real de un IDS (II)
  33. 107 - Algunas reflexiones
  34. 108 - Kerberos
  35. 109 - Arquitectura de Kerberos
  36. 110 - Autenticación
  37. 111 - Problemas de Kerberos
  38. 112 - Criptología
  39. 113 - Criptosistemas
  40. 114 - Clasificación de los criptosistemas
  41. 115 - Criptografía clasica
  42. 116 - Un criptosistema de clave secreta: DES
  43. 117 - Criptosistemas de clave pública
  44. 118 - Funciones resumen
  45. 119 - Esteganografía
  46. 120 - Algunas herramientas de seguridad
  47. 121 - Titan (I)
  48. 122 - Titan (II)
  49. 123 - TCP Wrappers
  50. 124 - SSH
  51. 125 - Tripwire
  52. 126 - Nessus
  53. 127 - Crack
  54. 128 - Gestión de la seguridad
  55. 129 - Políticas de seguridad
  56. 130 - Analisis de riesgos
  57. 131 - Estrategias de respuesta
  58. 132 - Outsourcing
  59. 133 - El "Área de Seguridad"
  60. 134 - Apéndice 1: Seguridad basica para administradores (I)
  61. 135 - Apéndice 1: Seguridad basica para administradores (II)
  62. 136 - Apéndice 2: Normativa (I)
  63. 137 - Apéndice 2: Normativa (II)
  64. 138 - Apéndice 2: Normativa (III)
  65. 139 - Apéndice 2: Normativa (IV)
  66. 140 - Recursos de interés en INet
  67. 141 - Glosario de términos anglosajones
  68. 142 - Conclusiones
  69. 143 - Bibliografía (I)
  70. 144 - Bibliografía (II)
  71. 145 - Bibliografía (III)
  72. 146 - Bibliografía (IV)
  73. 147 - Bibliografía (V)
  74. 148 - libro
Autor y licencia de 'Seguridad en Unix y redes - Usuarios y accesos al sistema (I)'
Antonio Villalón Huerta Extraído de: http://es.tldp.org/Manuales-LuCAS/doc-unixsec/unixsec-html/ GNU Free Documentation License
Licencia GNU Free Documentation License: http://www.gnu.org/copyleft/
Este contenido ha sido recopilado por el equipo de Wikilearning. Todo el contenido recopilado se ha obtenido respetando y comunicando en nuestro site la licencia de cada fuente.
Wikilearning tiene permiso expreso por escrito de los autores para publicar los contenidos que ha extraído de otras webs, incluyendo su uso comercial.

Wikis relacionados con 'Seguridad en Unix y redes - Usuarios y accesos al sistema (I)'

Es muy fácil crear archivos en el sistema operativo UNIX. Por lo tanto, los usuarios... Más »
Esta guía no es un documento general de seguridad. Esta guía está específicamente orientada a... Más »
El sistema inmune es el sistema de defensa que tienen los organismos superiores. Es un... Más »
En el presente trabajo los autores presentan una reflexión sobre los factores que inciden en... Más »
El poder de Unix1 se esconde en pequeños comandos que no parecen ser muy útiles... Más »
Gente Wiki
Ricardo Sanchez Maina
Soy Doctorado en Naturopatìa, Licenciado en Terapias Alternativas, Iridologo, Podòlogo, Enfermero y ejercì como Maestro de Escuela diferencia, Profesor en...
Landis Pérez Borges
Soy ingeniero mecánico pero luego de cursar un diplomado en dirección hotelera me he dedicado al turismo. Soy amante...
Alejandra Feldman
Soy alejandra feldman y me dedico a la gastronomía casi desde que me acuerdo,y me encanta enseñar a cocinar. Actualmente...
Ayudante de cocina, Cocina,...
Alvagar
Apasionado de los deportes de montaña y aire libre, y en general de todo lo que tenga relaccion con el...
Eugenio Arduan Gil
Soy un profesional en telecomunicaciones y vinculado a la docencia y en los ultimos tiempos al e-learning.
Instalaciones eléctricas, Mantenimiento de productos electrónicos,...
Jmslayer
Mis intereses giran en torno a la literatura, el arte en general, la música, la informática. Utilizo el wikilearning para...
Historia de la literatura
Suscribirse
¿Estás seguro de que deseas eliminar este capítulo?