jueves, 17 de diciembre de 2009

Editar los puntos de montaje (como profesionales)



fstab

/etc/fstab contiene una lista de todas las unidades que pueden ser montadas en el sistema, tanto locales como remotas. El archivo /etc/rc.sysinit lee el archivo /etc/fstab para montar las unidades al inicio. Este archivo de texto es el archivo que tenemos que editar si queremos montar una partición de forma permanente cada vez que el sistema arranque. Un punto a destacar, es que este archivo hace una lista de las particiones potenciales que se puede montar, sin embargo, no garantiza que en realidad estén montadas. Si usted quería ver las particiones montadas Usted puede utilizar el comando df o pedemos ver /etc/mstab (ver abajo).

# This file is edited by fstab-sync – see ‘man fstab-sync’ for details
LABEL=/1 / ext3 defaults 1 1
LABEL=/bk /bk ext3 defaults 1 2
LABEL=/boot1 /boot ext3 defaults 1 2
none /dev/pts devpts gid=5,mode=620 0 0
none /dev/shm tmpfs defaults 0 0
LABEL=/home /home ext3 defaults 1 2
LABEL=/opt /opt ext3 defaults 1 2
none /proc proc defaults 0 0
none /sys sysfs defaults 0 0
LABEL=/tmp /tmp ext3 defaults 1 2
LABEL=/usr /usr ext3 defaults 1 2
LABEL=/var1 /var ext3 defaults 1 2
LABEL=SWAP-sda3 swap swap defaults 0 0
LABEL=SWAP-sdc2 swap swap defaults 0 0
/dev/hda /media/cdrecorder auto
pamconsole,fscontext=system_u:object_r:removable_t,exec,noauto,managed 0 0

Comprensión del archivo /etc/fstab

El archivo /etc/fstab se divide en etiqueta (Label), punto de montaje, sistema de archivos, opciones, ordenes de dump y las ordenes de fsck.

Etiqueta

Los dispositivos locales son etiquetados por e2label de modo que cada punto de montaje local tendrá una etiqueta. El siguiente ejemplo muestra la etiqueta como LABEL=/home.
LABEL=/home /home ext3 defaults 1 2
Los montajes que no son locales no se mostraran de esta manera

Punto de montaje

El punto de montaje es un directorio donde está montado en la estructura del sistema de archivos. En el ejemplo /home es el punto de montaje.
LABEL=/home /home ext3 defaults 1 2

Sistema de archivos

El sistema de archivos es el formato del sistema de archivos en la unidad. En el ejemplo el sistema de archivos es ext3 que tiene el diario incluido: LABEL=/home /home ext3 defaults 1 2.

Opciones

Hay una serie de opciones que están disponibles al montaje de una unidad:
  • Opción de montaje - Descripción
  • async: leer y escribir datos de forma asíncrona
  • atime: Actualización de inodos cuando se accede a archivo
  • auto: los formatos normales de la unidad de disquete o unidades removibles
  • defaults: rw, suid, dev, exec, auto, nouser, async
  • dev: permite accesos a los dispositivos (unidades o consolas)
  • exec: permiso para ejecutar binarios
  • noatime: inode no se actualiza cuando se accede
  • noauto: se debe montar manualmente
  • nodev: no leer dispositivos
  • noexec: los binarios no se puede ejecutar
  • nosuid: no permite setuid y segid
  • nouser: sólo root puede montar sistemas de ficheros
  • remount: sistema de ficheros puede ser montado repetidamente
  • ro: sólo lectura
  • rw: leer y escribir
  • suid: permite setuid y setgid
  • sync: leer y escribir hecho al mismo tiempo,
  • user: permite a los usuarios no-root montar sistemas de archivos
Orden de dump (descarga)

La Orden de Dump o de descarga es importante para hacer copias de seguridad (backups). Coloque un 1 para que los dispositivos locales puedan realizar la descarga en la copia de seguridad. El ejemplo muestra un 1.
LABEL=/home /home ext3 defaults 1 2

Orden fsck

Esto permite establecer prioridades para el dispositivo que se comprobara por fsck primero en caso de un fallo del sistema. Normalmente se coloca un 0 para los dispositivos que no necesitan ser comprobados tales como el swap y se coloca un 1 para el directorio / para que sea chequeado en primer lugar y 2 en todos los demás dispositivos. El ejemplo es un 2.
LABEL=/home /home ext3 defaults 1 2

Añadir un dispositivo adicional

No podemos utilizar una etiqueta a menos que haya sido explícitamente creada, entonces necesitaremos utilizar el dispositivo de bloque como en el ejemplo. Normalmente, una unidad que es local y no extraíble será de 1 y 2, mientras que un dispositivo extraíble como una unidad ZIP será 0 y 0.
/dev/hdc1 /bac ext3 defaults 1 2
Agregue esta línea para el dispositivo y el punto de montaje que ha creado y guardemos. Ahora cada vez que se reinicia estará disponible.

Diferencias entre los distintos archivos

cat /etc/fstab

LABEL=/ / ext3 defaults 1 1
LABEL=/var /var ext3 defaults 1 2
LABEL=/home /home ext3 usrquota 1 2
LABEL=/boot /boot ext3 defaults 1 2
tmpfs /dev/shm tmpfs defaults 0 0
devpts /dev/pts devpts gid=5,mode=620 0 0
sysfs /sys sysfs defaults 0 0
proc /proc proc defaults 0 0
LABEL=SWAP-hda3 swap swap defaults 0 0
El archivo /etc/mtab se utiliza para listar los puntos de montajes que realmente existen. Esta es la diferencia con /etc/fstab que muestra los puntos de montaje en potencia.

cat /etc/mtab

/dev/hda2 / ext3 rw 0 0
proc /proc proc rw 0 0
sysfs /sys sysfs rw 0 0
devpts /dev/pts devpts rw,gid=5,mode=620 0 0
/dev/hda6 /var ext3 rw 0 0
/dev/hda5 /home ext3 rw,usrquota 0 0
/dev/hda1 /boot ext3 rw 0 0
tmpfs /dev/shm tmpfs rw 0 0
none /proc/sys/fs/binfmt_misc binfmt_misc rw 0 0
sunrpc /var/lib/nfs/rpc_pipefs rpc_pipefs rw 0 0
Cuando vemos los montajes del directorio /proc veremos que hay dos montajes se refieren al directorio / que es utilizado por los scripts initrd para montar el sistema de archivos.

cat /proc/mounts

rootfs / rootfs rw 0 0
/dev/root / ext3 rw,data=ordered 0 0
/dev /dev tmpfs rw 0 0
/proc /proc proc rw 0 0
/sys /sys sysfs rw 0 0
none /selinux selinuxfs rw 0 0
/proc/bus/usb /proc/bus/usb usbfs rw 0 0
devpts /dev/pts devpts rw 0 0
/dev/hda6 /var ext3 rw,data=ordered 0 0
/dev/hda5 /home ext3 rw,data=ordered,usrquota 0 0
/dev/hda1 /boot ext3 rw,data=ordered 0 0
tmpfs /dev/shm tmpfs rw 0 0
none /proc/sys/fs/binfmt_misc binfmt_misc rw 0 0
sunrpc /var/lib/nfs/rpc_pipefs rpc_pipefs rw 0 0
/etc/auto.misc /misc autofs rw,fd=6,pgrp=1949,timeout=300,minproto=5,maxproto=5,indirect 0 0
-hosts /net autofs rw,fd=12,pgrp=1949,timeout=300,minproto=5,maxproto=5,indirect 0 0



Fuente


______________________
Leer más >>
......
......
......
No olvides comentar esa es la mejor forma de incentivar el trabajo (y si puedes pasa el link del blog)...
Publicado por Someone in Time en 22:26 1 comentarios
Etiquetas: , ,

miércoles, 16 de diciembre de 2009

Seguridad en Linux II


Los permisos de archivo

Asegúrese de que los archivos de sistema no están abiertos por edición de casual de usuarios y grupos que no tienen los permisos adecuados. Los sistemas operativos Linux distinguen el control de acceso basados en tres características: propietario, grupo y otros. El acceso a un archivo será determinado por los bits de permiso y esos bits son "rwx" - donde 'r' identifica, 'leer' (read), 'w' identifica 'escribir' (write) y 'x' identifica 'ejecutar' (execute). Se puede establecer o restablecer esos tres bits de permiso basados en el tipo de acceso que estamos interesados en darle a un usuario. Esto se considera, un nivel básico, una manera de impedir el acceso a un archivo desde fuentes no autorizadas.

Comprobación de integridad

Hay un mecanismo muy bueno para detectar ataques locales en el sistema. Esto se conoce como "verificación de la integridad". Tripwire, Aide y Osiris son algunos de los más populares inspectores de integridad. Estas fichas de integridad ejecutarán una serie de sumas de control en todos los binarios importantes y archivos de configuración y los compararán contra una base de los antiguos datos, teniendo los valores conocidos como referencia. Así, cualquier cambio en los archivos puede ser fácilmente detectado. Con base en estas señales, un administrador del sistema puede hacer los cambios apropiados para que la integridad de los archivos importantes se mantenga.

Seguridad de contraseñas

La mayoría de las distribuciones de Linux vienen con 'passwd' programas que no le permiten establecer una contraseña fácil de adivinar. Por lo tanto, es necesario asegurarse de que su programa passwd está actualizado. Linux usa un algoritmo de cifrado de forma conocida como DES (Data Encryption Standard), que se utiliza para cifrar las contraseñas. La contraseña cifrada se almacena en /etc/passwd. Cuando intenta iniciar sesión, la contraseña que escribimos se encripta de nuevo y se compara con la entrada del archivo que almacena la contraseña. Una coincidencia significa que hemos ingresado la misma contraseña y hemos dado acceso al sistema.
Las contraseñas shadow son un medio de mantener la información de nuestra contraseña cifrada en secreto de los usuarios normales. Las versiones recientes de Red Hat y Debian Linux utilizan contraseñas shadow de forma predeterminada. Las contraseñas shadow se guardan en /etc/shadow y sólo puede ser leído por usuarios privilegiados.

Seguridad del kernel

A medida que el Kernel controla las redes de su equipo, es esencial mantenerlo seguro. Veamos algunas opciones populares de configuración del kernel que se refieren a la seguridad.
El reenvío de IP: Si se habilita el reenvío de IP, su máquina Linux se convierte en un router. Puede activar o desactivar el reenvío IP mediante el uso de estos comandos:

 Como root:
echo 1 > /proc/sys/net/ipv4/ip_forward
* para activar *

Como root:
echo 0 > /proc/sys/net/ipv4/ip_forward
* para desactivar *

Cortafuegos IP: Esta opción es muy útil si desea proteger su dial-up de estación de trabajo de alguien que entra a través de su interfaz dial-up PPP.
Paquetes loggin del Firewall del IP: Esta opción muestra la información acerca de los paquetes que su cortafuegos recibe.

Otras implementaciones de seguridad

Lo que hay que considerar aquí es la implementación de IPSEC para Linux. IPSEC es un mecanismo para crear algoritmos criptográficos de comunicaciones seguras a nivel de red IP. La idea principal es proporcionarle autenticación, integridad, control de acceso y confidencialidad a su información.

Directrices de seguridad

En cuanto a todo lo que concerniente a la escritura de código de buena calidad, la seguridad necesariamente debe encontrarse en la parte superior. Los problemas de seguridad pueden provenir de personas que tratan activamente de penetrar su seguridad o de cuestiones simples, tales como a alguien suministrando insumos inesperados a un programa o la ejecución incorrecta de algunos comandos. Demasiado acceso a los sistemas puede significar que los usuarios - incluso con el acceso legítimo - pueden causar problemas, ya sea accidentalmente o de forma intencionada.

Las mejores prácticas de seguridad

Digamos que hemos probado nuestro sistema y nos dimos cuenta que es más seguro. Y así está listo para ir en línea.
Es importante seguir las siguientes pautas para que podamos minimizar el impacto si un intruso intenta atacar el sistema:
• Asegúrese de que su sistema tiene un back up (una copia de seguridad).
• Escoja un buen horario para los respaldos.
• Asegúrese de probar las copias de seguridad para comprobar que esté trabajando como se espera.
• Aplicar todas las actualizaciones del nuevo sistema rápidamente para que todo esté al día.
• Seguir los datos del sistema de contabilidad. Asegúrese de que los archivos en /var/log tienen acceso de lectura y escritura sólo para un número limitado de usuarios.

¿Por qué debemos usar los registros de sucesos de seguridad (security event logs)?

Esperamos que pueda mantener sus computadoras parcheadas y actualizadas y que su red sea segura. Sin embargo,es inevitable que en algún momento ha de ser golpeado por la actividad maliciosa de: un virus, gusano, troyano, el ataque de un hack o de alguna otra manera. Cuando eso sucede, si hemos hecho las cosas bien antes del ataque, esto hará que la tarea de determinar cuándo y cómo sucedió el ataque sea mucho más fácil.
Algunos sistemas tienen auditorías de diversas funciones de registro nativas. También puede instalar software adicional para el seguimiento y registro de varias acciones en la computadora. Si es posible utilizar un disco duro dedicado y/o controlador de disco duro, tendrá un menor impacto en el rendimiento, ya que los archivos de registro pueden escribirse en el disco sin tener que luchar con las aplicaciones que estaríamos tratando de correr para el acceso a la unidad . Si usted puede dirigir los archivos de registro a un equipo independiente - posiblemente dedicada a almacenar los archivos de registro y con la configuración de seguridad completamente diferente - podríamos ser capaces de bloquear la capacidad de un intruso para alterar o eliminar los archivos de registro también.
Una nota final es que no debemos esperar hasta que sea demasiado tarde, y que su sistema ya haya sido bloqueado o esté comprometido, antes de ver los registros. Lo mejor es revisar periódicamente los registros de modo que podamos saber lo que es normal y establecer una línea de base. De esta forma, cuando lleguen entradas erróneas, podremos reconocerlas como tales y tomar medidas preventivas para endurecer nuestro sistema en lugar de hacer la investigación forense después de que sea demasiado tarde.


Fuentes: 1 y 2



____________
Leer más >>
......
......
......
No olvides comentar esa es la mejor forma de incentivar el trabajo (y si puedes pasa el link del blog)...
Publicado por Someone in Time en 13:02 0 comentarios
Etiquetas: , ,
Suscribirse a: Entradas (Atom)
Powered By Blogger