2
Jan
2011

Manejo de grupos en UNIX – 3a parte

Administración de grupos

El comando groupadd permite agregar grupos en el sistema.

Definir grupo con contraseña:

groupadd -p contraseña-encriptada grupo_de_prueba

El comando groupmod permite modificar grupos en el sistema.

Modificar ID de grupo (los valores entre 0 y 999 son típicamente para grupos del sistema):

groupmod -g nueva-id grupo_de_prueba

Modificar nombre de grupo:

groupmod -n nuevo-nombre grupo_de_prueba

Modificar contraseña de grupo:

groupmod -p nueva-contraseña-encriptada grupo_de_prueba


Leer el resto del artículo »

2
Jan
2011

Manejo de grupos en UNIX – 2a parte

¿Cómo funcionan los grupos?

Cuando un usuario ingresa al sistema, tiene un grupo primario al que pertenece (definido en /etc/passwd). Si desea ingresar a otro grupos, utiliza el comando newgrp:

newgrp grupo

El usuario puede ingresar a un grupo al que no pertenece escribiendo su contraseña -siempre que este habilitada-.

Un usuario puede desloguearse del grupo al que entró con el comando exit. Si quiere desloguearse sucesivamente de distintos grupos a los que se fue logueando, con exit pasa al grupo anterior. Cuando llega al último, sale del sistema.

Una aplicación directa del manejo de grupos es a nivel de archivos. Cada archivo tiene un usuario propietario (owner) y un grupo al que pertenece (group). Estos datos corresponden con el usuario que lo creó y el grupo al que estaba logueado el usuario.

Para modificar el grupo al que pertenece un archivo, se puede ejecutar el siguiente comando:

chown usuario:grupo archivo

o

chgrp grupo archivo

El usuario debe pertenecer o estar logueado en el grupo que le asignará al archivo.


Leer el resto del artículo »

2
Jan
2011

Manejo de grupos en UNIX – 1a parte

Veremos en esta serie de artículos el manejo de grupos en sistemas UNIX. Los grupos definen conjuntos de usuarios del sistema. Tienen el objetivo de facilitar la gestión de permisos agrupandolos por clases de acceso similares. El acceso puede ser a archivos, discos, impresoras, periféricos, etc. Un mismo usuario puede pertenecer a grupos diferentes y cada uno le otorga los permisos que corresponden.

/etc/group

Este archivo contiene información de los grupos definidos en el sistema. Cada línea del archivo tiene la siguiente forma:

sambashare:x:122:martin
  • el primer elemento es el nombre del grupo;
  • el segundo elemento la contraseña -como sucede con la información de usuarios, la contraseña encriptada no se guarda allí sino en el archivo /etc/gshadow-;
  • el tercer elemento es el número de grupo (GID); y
  • el cuarto elemento es una lista de usuarios que son miembros del grupo.

Los elementos van separados por : y los usuarios del grupo por ,.


Leer el resto del artículo »

1
Jan
2011

BIOS Passwords

Establecer una contraseña para el BIOS es recomendable en ambientes donde el acceso físico de un atacante es factible.

El objetivo que persigue es doble:

  • prevenir que las configuraciones del BIOS sean alteradas; y
  • evitar que el sistema pueda ser inicializado.

Las configuraciones posibles dependen de cada fabricante. VMware habilita esta funcionalidad en su producto VMware Workstation como se visualiza a continuación:

Vmware bios password

Una característica a tener en cuenta es cómo resuelve el fabricante del BIOS la posibilidad de un reinicio del sistema. VMware Workstation exige ingresar nuevamente la contraseña de BIOS, logrando así un nivel adicional de seguridad.

Si combinamos una contraseña de BIOS, con un órden de dispositivos de arranque que comience por el disco principal y contraseñas para el gestor de arranque del sistema operativo, podríamos evitar el inicio no autorizado con un rescue CD y la manipulación de archivos sin permisos. En este escenario, la efectividad de los controles de seguridad dependerá de la gestión de contraseñas. Si el riesgo de que el disco sea físicamente removido del sistema es considerable, sería necesaria su encriptación.

En conclusión, debemos tomar medidas para evitar modificaciones o visualización de archivos con seguridad y control de acceso no gestionado por el sistema operativo del dispositivo.

1
Jan
2011

GRUB passwords en Linux

Existen tres razones principales por las que resulta conveniente proteger con contraseña el gestor de arranque (boot loader) GRUB en sistemas Linux:

  1. prevenir el ingreso en modo Single User Mode – Si los atacantes logran iniciar en este modo, obtendrán acceso a la estación de trabajo como usuario con permisos administrativos (root), sin necesidad de saber su contraseña;
  2. prevenir el acceso a la consola de GRUB – Los atacantes podrían usar esta consola para cambiar las opciones de arranque u obtener información del sistema; y
  3. prevenir el acceso a sistemas inseguros – Si en la estación de trabajo hay instalados múltiples sistemas operativos, el atacante podría preferir iniciar en uno inseguro como DOS y realizar operaciones no permitidas.

El primer paso consiste en generar un hash con la herramienta de GRUB:

/sbin/grub-md5-crypt


Leer el resto del artículo »

1
Jan
2011

Bienvenidos a SEC

Hoy, 1 de enero de 2011, quiero dar comienzo a este blog llamado SEC. Mi nombre es Martín Balao y estaré tratando aquí temas relativos a la Seguridad de la Información, en su dimensión gerencial, técnica y operativa.

La información es actualmente uno de los activos más importantes de toda organización. Las necesidades de comunicación la exponen a riesgos de diversa naturaleza, complejidad e implicancia. Protegerla es una necesidad ineludible; con repercusión directa en los aspectos comerciales, éticos y de cumplimiento legal.


Leer el resto del artículo »