El esquema de permisos tradicional en los sistemas UNIX diferencia a los usuarios que pueden leer, escribir o ejecutar un archivo o directorio en tres clases: propietario, grupo y otros. Si bien para muchos escenarios esto es suficiente, puede necesitarse mayor granularidad.

Imaginemos que necesitamos darle al usuario test permisos de lectura sobre el archivo archivo. Supongamos que el usuario y grupo propietarios de archivo son root y wheel respectivamente. Además, supongamos que no queremos que test pertenezca a wheel para no tener permisos sobre archivos que no le corresponde. ¿Cómo resolvemos la situación?

Leer el resto del artículo »

En la memoria RAM se almacenan las contraseñas -sin cifrar- utilizadas por las aplicaciones durante su operativa normal. Cuando el equipo es apagado, esta memoria volátil se borra. Si bien existen ataques de recuperación en frío, debido a su complejidad y costo puede asumirse que son improbables en la mayoría de los escenarios.

El problema se da cuando la memoria RAM es insuficiente y con técnicas de swapping el sistema operativo comienza a grabar en disco esta información para hacer lugar a otras aplicaciones. Al grabar la información en disco sin proteger, estamos aceptando una exposición grande de datos eventualmente confidenciales.

Un segundo problema es la hibernación. Durante este proceso, el sistema operativo hace una copia de la memoria RAM en disco, que recupera al despertarse.

Leer el resto del artículo »

Levantar servidores de DNS -con configuración básica- en Linux y OS X es relativamente sencillo. Utilizamos el servidor de DNS Bind para las pruebas.

OS X Server

Ingresamos a Server Admin -> Settings -> Services -> DNS.

Luego, en el servicio DNS seleccionamos Start DNS.

Para agregar zonas, ingresamos a Zones y seleccionamos Add zone configurando los datos que correspondan.

Ubuntu Server

En el caso de Ubuntu, ejecutamos el siguiente comando para instalar Bind:

apt-get install bind9

Leer el resto del artículo »

Estuve haciendo algunas pruebas con máquinas virtuales VMware Workstation 7. El objetivo fue levantar un Open Directory (OpenLDAP) en OS X 10.5 Server, crear un usuario en el dominio compartido y utilizarlo para autenticarse en estaciones de trabajo de la red. Las estaciones de trabajo correrían sistemas OS X, Ubuntu y FreeBSD.

La infraestructura de la red 192.168.42.0/24 fue:

• OS X 10.5 Server
• OS X 10.5 Client
• FreeBSD 8.1
• Ubuntu 10.10 Server

Leer el resto del artículo »

srm es una utilidad en la línea de comandos para sistemas Linux, OS X y otros UNIX-like que permite la eliminación segura de archivos en disco. En la eliminación normal, simplemente se rompe el enlace que permite localizar físicamente al archivo y se marca ese espacio como “reusable”. Con la eliminación segura, antes de romper estos enlaces, se realizan sobreescrituras, renombramientos y truncamientos. De esta manera es imposible recuperar la información.

srm -rf /home/usuario/directorio_a_borrar

-r: borrar recursivamente archivos y directorios
-f: no interrumpir si el archivo o directorio no existe

El modo por defecto utiliza el algoritmo de Gutmann con 35 pasadas. En teoría, una sola pasada no es suficiente para garantizar la irrecuperabilidad de la información porque las distintas frecuencias alcanzan distintas profundidades en el material magnético. A través del análisis de señales podría identificarse qué fue escrito anteriormente. Sin embargo, ninguna empresa privada de recuperación de información ni entidad gubernamental clama haber utilizado estas técnicas. Las 35 pasadas tienen que ver con sobreescribir mediante patrones de distintas codificaciones. Para un dispositivo de codificación conocida, solo sería necesario sobreescribir con sus patrones.

Leer el resto del artículo »

Una de las recomendaciones de seguridad para proteger sistemas es deshabilitar todos aquellos servicios, subsistemas, protocolos, drivers u otros componentes innecesarios. Un sistema debería tener lo mínimo necesario para cumplir con la función requerida.

Veremos en este artículo como eliminar los drivers de componentes innecesarios para un sistema OS X Server. Esta medida por sí sola no es suficiente: cualquiera que obtuviera permisos suficientes o escapara los controles de acceso del sistema operativo podría reinstalarlos. Pero debemos recordar que la seguridad es en capas y esto, junto a otras configuraciones, agrega dificultad para comprometer el sistema. Es necesario tener cuidado al actualizar el sistema para que no sean reinstalados estos componentes.

Los drivers en OS X son directorios .kext o kernel extensions. Se encuentran en la carpeta /System/Library/Extensions.

Remover soporte Wi-Fi:

sudo srm -rf /System/Library/Extensions/IO80211Family.kext

Leer el resto del artículo »

Una de las medidas de seguridad necesarias para asegurar un  sistema es reducir al mínimo los servicios habilitados a la red. Cada servicio puede exponer vulnerabilidades a intrusos que terminen por comprometer a todo el sistema.

Maintaining security on your system is extremely important, and one approach for this task is to manage access to system services carefully. Your system may need to provide open access to particular services (for example, httpd if you are running a Web server). However, if you do not need to provide a service, you should turn it off to minimize your exposure to possible bug exploits.

Controlling Access to Services – RedHat, Inc.

Para analizar los servicios que tenemos actualmente habilitados y escuchando conexiones desde la red, voy a comentarles tres comando en Linux:

Leer el resto del artículo »