Administrador Linux

Administracin de Sistemas GNU/Linux
2011-07-13 (v1.0)
PortantierInformationSecurityIntroduccinaGNU/Linux
Fabian Portantier
Consultor en Seguridad Informtica Fantico de GNU/Linux (Debian) Mail: fabian@portantier.com Web: www.portantier.com
Registros del sistema (logs)
Nos permiten saber qu pas
Nos permiten saber qu pasa
Nos permiten saber qu pasar

Servicio syslogd
Centraliza los logs del sistema
Modelo cliente/servidor
Evita problemas de bloqueos de archivo

Protocolo Syslog
Estndar de facto Mensajes no mayores a 1024 bytes Por defecto, puerto UDP 514 http://es.wikipedia.org/wiki/Syslog
Estructura de los mensajes
-----------------------------------| Prioridad | Cabecera | Texto | ------------------------------------
Prioridad de los mensajes
Nmero de 8 bits

Recurso (5 bits) Severidad (3 bits)
Prioridad = Recurso * 8 + Severidad
Recursos habituales

auth authpriv cron daemon kern mail user local0 - local7

Severidades
0 1 2 3 4 5 6 7 Emergencia: el sistema est inutilizable Alerta: se debe actuar inmediatamente Crtico: condiciones crticas Error: condiciones de error Peligro: condiciones de peligro Aviso: normal, pero condiciones notables Informacin: mensajes informativos Depuracin: mensajes de bajo nivel
Cabecera de los mensajes
Codificacin ASCII (7 bits)
Formato: mes dia hh:mm:ss hostname Oct 13 20:31:02 server01
Texto de los mensajes

Dividido en informacin del proceso y mensaje Separados por el primer espacio en blanco wpa[1236]: Group rekeying ok ----------------------------| Proceso | Mensaje | -----------------------------
Servidores de Syslog
sysklogd
rsyslog
syslog-ng
Configuracin rsyslog
/etc/rsyslog.conf /etc/rsyslog.d
Configuracin rsyslog
Recurso.Severidad Accin
Escribir en el log
El comando: logger -p local5.info "Mensaje de prueba" Genera: Jul 15 19:14:26 debian fabian: Mensaje de prueba
Envo de logs remotos
Recurso.Severidad @servidor mail.* @192.168.0.10
Ejemplos de acciones
A una tty o consola: /dev/console Lista de usuarios: root,fabian Todos los usuarios: * Descartar ~
Rotacin de logs
Segn Apache: 1Mb cada 10.000 lneas de log
Los archivos grandes son lentos para trabajar
Se puede llenar el sistema de archivos

Cmo rotar los archivos de log?
A mano (complicado y olvidadizo)
Con un script (vamos mejorando)
Con 'logrotate' (la opcin ms potente)

Logrotate
Especialmente hecho para la rotacin de logs
Permite comprimir los archivos directamente
Permite la capacidad de enviar correos

Configuracin de logrotate
/etc/logrotate.conf /etc/logrotate.d
Opciones comunes de logrotate

compress daily weekly monthly mail m prerotate postrotate rotate n size s sharedscripts Comprimir los logs Rotar todos los das Rotar cada semana Rotar cada mes Enviar por mail a la direccin 'm' Ejecutar script antes de rotar Ejecutar script despus de rotar Guarda 'n' logs antes de borrar Rota si el tamao es mayor a 's' Ejecuta scripts una sla vez
Ejemplo configuracin logrotate

/var/log/apache2/*.log { weekly rotate 52 compress sharedscripts postrotate /etc/init.d/apache2 reload > /dev/null endscript }
Automatizacin de tareas
Cron
crond
Es el servicio que ejecuta las tareas
crontab
Permite manipular la tabla de tareas
Comando 'crontab'
Ver o editar las tablas de tareas Uso: crontab [opciones] e l r ux Edita interactivamente (por defecto, con 'vi') Muestra el contenido de la tabla Elimina la tabla Opera sobre la tabla del usuario 'x'
Configuracin de cron
/etc/crontab /etc/cron.d /etc/cron.hourly /etc/cron.daily /etc/cron.weekly /etc/cron.montly
Comando 'at'
Permite ejecutar tareas a determinadas horas Uso: at [-f archivo] tiempo at [opciones] d l Borra trabajos Lista trabajos
Criptografa de Hash
Algoritmos de Hash
Resultado de tamao fijo A mismo origen, mismo resumen resultante Aplicable a grandes cantidades de datos Pequeas probabilidades de colisin Funcionan en un slo sentido
Algoritmos de Hash (MD5, SHA)

root@debian:~# echo "fabian" | md5sum (salida de 32 caracteres) root@debian:~# echo "fabian" | sha256sum (salida de 64 caracteres) root@debian:~# echo "fabian" | sha512sum (salida de 128 caracteres)
Administracin de usuarios
/etc/passwd
Base de datos de usuarios
Texto plano
Campos separados por dos puntos (:)

/etc/passwd (campos)

Nombre de usuario (login) Contrasea encripada ('x' para shadow) UID de la cuenta GID del grupo principal de la cuenta Descripcin del usuario Directorio 'home' del usuario Shell por defecto
/etc/shadow
Base de datos segura de usuarios Texto plano Campos separados por dos puntos (:) Slo legible por el usuario 'root' (en algunos sistemas, por el grupo shadow)
/etc/shadow (campos)
Nombre de usuario (login) Contrasea encriptada (o valor especial) ltimo cambio contrasea (Fecha Unix) Das hasta permitir el cambio de contrasea Das hasta requerir cambio de contrasea Das de aviso de expiracin de contrasea Das hasta desactivar la cuenta Das desde la Fecha Unix en que la cuenta expira Reservado
/etc/shadow (campo 1)
Si guarda contrasea, primero define el algoritmo: "$1$" MD5 "$5$" SHA-256 "$6$" SHA-512
/etc/shadow (campo 1)
El campo tambin puede contener lo siguiente: ! NP * LK !! La cuenta no tiene contrasea La cuenta no tiene contrasea La cuenta est bloqueada La cuenta est bloqueada La contrasea ha expirado
/etc/group
Base de datos de grupos
Texto plano
Campos separados por dos puntos (:)

/etc/group (campos)
Nombre del grupo Contrasea (no suele ser utilizada) GID (identificador nico del grupo) Miembros del grupo (lista separada por comas)
/etc/gshadow
Base de datos segura de grupos Texto plano Campos separados por dos puntos (:) Slo legible por el usuario 'root' (en algunos sistemas, por el grupo shadow)
/etc/gshadow (campos)
Nombre del grupo Contrasea encriptada Administradores del grupo Miembros del grupo (no-administradores)
/etc/skel
Es un directorio Contiene el esqueleto para nuevos usuarios Al crear un usuario, se copia en su 'home' Los cambios no aplican a usuarios existentes
Comando 'chage'
Modifica la expiracin de contraseas Uso: chage [opciones] login Ejemplo: chage fabian
Comando 'groupadd'
Crea un nuevo grupo Uso: groupadd [opciones] grupo Ejemplo: groupadd administradores
Comando 'groupdel'
Elimina un grupo Uso: groupdel grupo Ejemplo: groupdel administradores
Comando 'groupmod'
Modifica un grupo Uso: groupmod [opciones] grupo Ejemplo: groupmod administradores
Comando 'groupmod'
Opciones comunes: g GID n NEW p PWD Define el nuevo GID del grupo * Define el nuevo nombre del grupo Define la nueva contrasea del grupo
*No sincroniza los archivos al nuevo GID
Comando 'passwd'
Modifica la contrasea de un usuario Uso: passwd [opciones] login Ejemplo: passwd fabian
Comando 'passwd'
Opciones comunes: d e l S u Deja la contrasea en blanco Expira la contrasea Bloquea la cuenta (NO la deshabilita) Muestra el estado de la cuenta Desbloquea la cuenta
Comando 'useradd'
Crea un nuevo usuario o modifica los defaults Uso: useradd [opciones] login useradd -D [opciones]
Comando 'useradd'
Opciones comunes: d g x G x1, x2 -k dir s SHELL u UID Directorio Home Nombre o GID del grupo principal Grupo o grupos secundarios Cual es el directorio esqueleto La shell por defecto Define el ID de usuario (UID)
Comando 'userdel'
Elimina un usuario Uso: userdel [opciones] login Ejemplo: userdel fabian
Comando 'userdel'
Opciones comunes: f r Elimina aunque est logueado Elimina el Home y los correos electrnicos
Comando 'usermod'
Modifica una cuenta de usuario Uso: usermod [opciones] login
Comando 'usermod'
Opciones comunes: d dir g grp l lgn L s shell u UID U Nuevo directorio home Nuevo grupo primario (GID o nombre) Nuevo nombre de usuario (login) Bloquea la cuenta Nueva shell por defecto Nuevo UID Desbloquea la cuenta
Administracin de la Seguridad
Buscar archivos SUID
find /bin -perm -4000 -type f find /usr/bin -perm -4000 -type f
Buscar archivos SGID
find /bin -perm -2000 -type f find /usr/bin -perm -2000 -type f
Localizacin e internacionalizacin
Network Time Procotol - NTP
Utiliza servidores para consultar la hora Slo UTC (Universal Coordinated Time) Puerto UDP 123 www.ntp.org ntpd
/etc/ntp.conf
restrict 127.0.0.1 server 192.43.244.18 man ntp.conf
Comando 'hwclock'
Consulta o modifica la hora del hardware clock Uso: hwclock [funciones] [opciones]
Comando 'hwclock' (ejemplos)

hwclock -hctosys Copia la hora del hwc a la del sistema hwclock -systohc Copia la hora del sistema a la del hwc hwclock --localtime Muestra la hora local hwclock --utc Muestra la hora en formato UTC
/etc/localtime
Copia o enlace a /usr/share/zoneinfo
Valor de zona con respecto a UTC
Ejecutar: file /etc/localtime

tzselect
Muestra todas las zonas horarias
Segn el sistema, no permite realizar cambios
Debian/Ubuntu: dpkg-reconfigure tzdata

Comando 'date'
Muestra o define la hora del sistema Uso: date [opcin] [formato] date [--utc] [MMDDhhmm]
Comando 'date' (ejemplos)

date Muestra la hora del sistema date "+%Y-%m-%d %H-%M-%S" Muestra en el estilo 2011-02-17 12-36-51 date -s 2004-02-29 16:21:42 Define la fecha y hora a 2004-02-29 16:21:42
Variables de idioma
LANG Define todas la configuraciones a la vez LC_COLLATE Define el orden alfabtico de los caracteres LC_TYPE Define las propiedades de gestin de caracteres LC_MESSAGES Define la localizacin de los programas
Variables de idioma
LC_MONETARY Define las unidades de moneda utilizadas LC_NUMERIC Define las unidades numricas no monetarias LC_TIME Define el formato de horas y fechas LC_ALL Sobreescribe todos los otros valores
Comando 'locale'
Muestra la informacin de idioma Uso: locale
env | grep -e ^LC -e ^LANG
BASH Scripting
#!/bin/bash
Primera lnea del archivo Indica con qu programa debe ser interpretado En este caso, bash
Variables locales
Definicin: VAR=1 Llamada: echo $VAR
Condicional if
if [expresin] then cdigo a ejecutar si la expresin es verdadera fi
Condicional if
if [expresin] then cdigo a ejecutar si la expresin es verdadera else cdigo a ejecutar si la expresin es falsa fi
Condicional if (ejemplo)
VAR=1 if [ $VAR = 1 ] then echo La expresin es verdadera! else echo La expresin es falsa! fi
Bucle for
Tomo los valores de una lista Reemplazo var para los valores de esa lista Ejecuto el bucle una vez por valor for var in lista do echo item: $item done
Bucle for (ejemplo)
for item in $(seq 1 3) do echo item: $item done
Bucle 'while' (ejemplo)

Ejecuto el bucle mientras se cumpla la condicin COUNTER=0 while [ $COUNTER -lt 10 ] do echo The counter is $COUNTER let COUNTER=COUNTER+1 done
Comparadores
De texto: s1 = s2 (es igual?) s1 != s2 (es distinto?) Numricos: -lt (<) -gt (>) -le (<=) -ge (>=) -eq (==) -ne (!=) Menor a Mayor a Menor o igual a Mayor o igual a Igual a Distinto a
Entorno Grfico
Entorno Grfico (X)
Modelo Cliente / Servidor El servidor X se comunica con varios clientes Enva datos a los clientes (programas) Toma datos de interfaces (teclado, mouse, etc) Permite aplicaciones remotas (por red)
Xlib y otras libreras
Es la librera principal para interactuar con X
No suele ser utilizada directamente
La utilizan, por ejemplo Motif, GTK+ y QT

Gestores de Ventanas
Apariencia de ventanas y otros componentes Gestionan la aparicin de iconos Combinaciones de teclas Trabajan como cliente del servidor X
Gestores de Ventanas (Tipos)

Stacking (pila) Dibuja las ventanas individualmente, empezando por la de ms abajo y luego las va apilando. Tiling (mosaico) No permite que las ventanas se superpongan. Compositing (composicin) Dibuja las ventanas en conjunto, permitiendo transparencias y otros efectos.
Gestores de Ventanas (Ejemplos)

Stacking Fluxbox, Openbox, Window Maker Tiling awesome, ratpoison, wmii Compositing Compiz, KWin, Metacity, Xfwm
Gestor de Sesiones
Sesin: Estado de todo el entorno X Almacenan el estado de las sesiones Permiten recuperar un estado anterior Suele combinarse con el Gestor de Pantalla
Gestores de Pantalla
Muestran el login grfico
Aceptan conexiones de servidores X remotos
Ejemplos: XDM, GDM, KDM

Entornos de Escritorio
Conjunto de varios componentes de escritorio
Desarrollados para trabajar en conjunto
Ejemplos: Gnome, KDE, XFCE

Instalacin de Xorg en Debian
Paquete xorg (ver dependencias)
Soporte para varias tarjetas grficas
Soporte para teclado, mouse y otros

/etc/X11/xorg.conf
Es el archivo de configuracin principal
Si no existe, se detecta la configuracin
Puede estar dividido en varios archivos

xorg.conf - Fuentes
Section "Files" FontPath "/usr/share/X11/fonts/misc" FontPath "/usr/share/X11/fonts/cyrillic" FontPath "/usr/share/X11/fonts/100dpi/:unscaled" FontPath "/usr/share/X11/fonts/75dpi/:unscaled" FontPath "/usr/share/X11/fonts/Type1" FontPath "/usr/share/X11/fonts/100dpi" EndSection
xorg.conf - Mdulos
Section "Module" Load "bitmap" Load "ddc" Load "dri" Load "extmod" Load "int10" Load "type1" Load "vbe" EndSection
xorg.conf - Teclado
Section "InputDevice" Identifier "Generic Keyboard" Driver "kbd" Option "CoreKeyboard" Option "XkbRules" "xorg" Option "XkbModel" "pc105" Option "XkbLayout" "us" Option "XkbOptions" "lv3:ralt_switch" EndSection
xorg.conf - Mouse
Section "InputDevice" Identifier "Configured Mouse" Driver "mouse" Option "CorePointer" Option "Device" "/dev/input/mice" Option "Protocol" "ExplorerPS/2" Option "ZAxisMapping" "4 5" Option "Emulate3Buttons" "true" EndSection
xorg.conf Tarjeta grfica
Section "Device" Identifier "VMware SVGA II PCI Display Adapter" Driver "vmware" BusID "PCI:0:15:0" EndSection
xorg.conf - Monitor
Section "Monitor" Identifier "Generic Monitor" Option "DPMS" HorizSync 28-51 VertRefresh 43-60 EndSection
xorg.conf - Pantalla
Section "Screen" Identifier "Default Screen" Device "VMware SVGA II PCI Display Adapter" Monitor "Generic Monitor" DefaultDepth 24 SubSection "Display" Depth 24 Modes "1024x768" "800x600" "640x480" EndSubSection EndSection
xorg.conf - Entorno
Section "ServerLayout" Identifier "Default Layout" Screen "Default Screen" InputDevice "Generic Keyboard" InputDevice "Configured Mouse" EndSection
Xorg -configure
Permite autoconfigurar el servidor
Genera un archivo xorg.conf
Instalacin de GDM
apt-get install gdm vim /etc/gdm3/daemon.conf
Otras utilidades
xwininfo Muestra informacin de una ventana xdpyinfo Muestra informacin de X xhost Controla el acceso al servidor X
Encripcin de Datos
Telnet, rlogin, rcp, rsh
Permiten copiar archivos y administrar equipos El trfico viaja en texto plano Es fcil capturar usuarios y contraseas Se vuelven extremadamente inseguros
SSH (Secure Shell)
Permite la administracin remota Permite la copia de datos entre equipos Permite el redireccionamiento de puertos Encripta TODO el trfico La implementacin ms popular es OpenSSH
apt-get install openssh-server
Configuracin SSH
El servicio se llama sshd
Por defecto, utiliza el puerto TCP/22
/etc/ssh/sshd_config
# Ejemplo de configuracion Port 22 Protocol 2 HostKey /etc/ssh/ssh_host_rsa_key HostKey /etc/ssh/ssh_host_dsa_key PermitRootLogin no RSAAuthentication yes PubkeyAuthentication yes PermitEmptyPasswords no Subsystem sftp /usr/lib/openssh/sftp-server
Criptografa Asimtrica (I)
Se componen de una parte pblica y otra privada La pblica la utilizan los dems para verificar nuestra identidad. La privada la utilizamos SOLO nosotros, para demostrar que la clave pblica es nuestra
Criptografa Asimtrica (II)
Es una forma criptogrfica muy fuerte Basa totalmente su seguridad en la clave privada La privada, es preferible perderla que compartirla
DSA y RSA
Son algoritmos de criptografa asimtrica Digital Signature Algorithm (DSA) Rivest, Shamir, Adleman (RSA)
Generacin de Claves
ssh-keygen -t dsa ssh-keygen -t rsa Los certificados se crean en: ~/.ssh/id_dsa y ~/.ssh/id_dsa.pub ~/.ssh/id_rsa y ~/.ssh/id_rsa.pub
Autenticacin por Certificados
~/.ssh/authorized_keys2 cd ~/.ssh cp id_rsa.pub authorized_keys2
Certificados del Servidor
RSA: ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub DSA: ssh-keygen -l -f /etc/ssh/ssh_host_dsa_key.pub
GPG
GNU Privacy Guard La implementacin abierta de PGP Utiliza criptografa asimtrica Permite encriptar datos
apt-get install gnupg
Generacin de Claves
gpg gen-key gpg list-keys gpg --export-secret-key -a "Fabian Portantier"
Encriptando Archivos
Encriptar / Desencriptar
gpg -e -u "Fabian" -r "Pedro" archivo.txt gpg -d archivo.txt

Administrador Linux

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Administrador Linux

Diunggah oleh

Hak Cipta:

Format Tersedia

Administracin de Sistemas GNU/Linux

Registros del sistema (logs)

Nos permiten saber qu pas

Nos permiten saber qu pasa

Nos permiten saber qu pasar

Centraliza los logs del sistema

Evita problemas de bloqueos de archivo

Estructura de los mensajes

-----------------------------------| Prioridad | Cabecera | Texto | ------------------------------------

Prioridad de los mensajes

Recurso (5 bits) Severidad (3 bits)

Prioridad = Recurso * 8 + Severidad

auth authpriv cron daemon kern mail user local0 - local7

Cabecera de los mensajes

Codificacin ASCII (7 bits)

Formato: mes dia hh:mm:ss hostname Oct 13 20:31:02 server01

Texto de los mensajes

Envo de logs remotos

Recurso.Severidad @servidor mail.* @192.168.0.10

Segn Apache: 1Mb cada 10.000 lneas de log

Los archivos grandes son lentos para trabajar

Se puede llenar el sistema de archivos

Cmo rotar los archivos de log?

A mano (complicado y olvidadizo)

Con un script (vamos mejorando)

Con 'logrotate' (la opcin ms potente)

Especialmente hecho para la rotacin de logs

Permite comprimir los archivos directamente

Permite la capacidad de enviar correos

Opciones comunes de logrotate

Ejemplo configuracin logrotate

Es el servicio que ejecuta las tareas

Permite manipular la tabla de tareas

Algoritmos de Hash (MD5, SHA)

Base de datos de usuarios

Campos separados por dos puntos (:)

Base de datos de grupos

Campos separados por dos puntos (:)

Elimina un grupo Uso: groupdel grupo Ejemplo: groupdel administradores

Modifica un grupo Uso: groupmod [opciones] grupo Ejemplo: groupmod administradores

*No sincroniza los archivos al nuevo GID

Elimina un usuario Uso: userdel [opciones] login Ejemplo: userdel fabian

Modifica una cuenta de usuario Uso: usermod [opciones] login

Buscar archivos SUID

Buscar archivos SGID

Network Time Procotol - NTP

restrict 127.0.0.1 server 192.43.244.18 man ntp.conf

Comando 'hwclock' (ejemplos)

Copia o enlace a /usr/share/zoneinfo

Valor de zona con respecto a UTC

Ejecutar: file /etc/localtime

Muestra todas las zonas horarias

Segn el sistema, no permite realizar cambios

Debian/Ubuntu: dpkg-reconfigure tzdata

Comando 'date' (ejemplos)

Muestra la informacin de idioma Uso: locale

env | grep -e ^LC -e ^LANG

Definicin: VAR=1 Llamada: echo $VAR

if [expresin] then cdigo a ejecutar si la expresin es verdadera fi

Bucle for (ejemplo)

for item in $(seq 1 3) do echo item: $item done

Bucle 'while' (ejemplo)

Entorno Grfico (X)

Xlib y otras libreras