Práctica Seguridad
-
Upload
antonio-carlos-perez-leon -
Category
Documents
-
view
10 -
download
2
Transcript of Práctica Seguridad
Seguridad en linux Antonio Carlos Pérez León Práctica de seguridad en sistemas Linux realizada para la asignatura Seguridad y alta disponibilidad I.E.S. GRAN CAPITAN 2013
[Año]
Curso:ASIR 2 Módulo: Seguridad Autor: Antonio Carlos Pérez León
-1-
Práctica Seguridad.Linux 1
1.- Probar el comando chage y ver como se modifica el fichero shadow.
Vemos las opciones posibles:
Vemos la configuración de la cuenta usuario
Cambiamos la caducidad de la contraseña
Autor: ac Planificación y Administración de Redesl. 1º A.S.I.R.
-2-
2.- Modificar los parámetros de contraseña de login.defs y ver como afecta a la
creación de nuevos usuarios
Modificamos login.def
Creamos un nuevo usuario
Comprobamos los cambios en /etc/shadow
Curso:ASIR 2 Módulo: Seguridad Autor: Antonio Carlos Pérez León
-3-
3.-Modificar el fichero securetty para impedir el acceso de root a los ttys.
Impedimos el acceso a tty1 y tty2 comentandolos
4.- Modificar el fichero de configuración de ssh para impedir el acceso de root por
ssh
5.-Modificar el fichero PAM adecuado para hacer que los usuarios listados en un
fichero sólo puedan acceder a través de xdm(no deben poder acceder en la consola
ni mediante ssh)
Autor: ac Planificación y Administración de Redesl. 1º A.S.I.R.
-4-
6.-Probar el comando usermod para hacer que la cuenta de un usuario expire en
30 días desde hoy.
7.- Crear una cuenta de invitado con acceso restringido.
a) Crear una cuenta normal en el /etc/passwd cambiar el shell estándar por
uno restringido.
En /etc/passwd modificamos bash por rbash
b)Borrar en el home del usuario todos los ficheros (incluidos los .bashrc
.basg_profile, etc.)
Curso:ASIR 2 Módulo: Seguridad Autor: Antonio Carlos Pérez León
-5-
c) Crear un fichero .bash_profile vacío, con permiso de lectura para propie-
tario, grupo y otros cuyo propietario sea root
d)Modificar el propietario del home del usuario a root y dar permisos de lec-
tura y ejecución a grupo y a otros (así el usuario sólo puede entrar en la
cuenta, pero no hacer nada más)
e) Crear un directorio bin (propietario root, permiso rx a grupo y otros) den-
tro del home del usuario, y en ese directorio ponemos enlaces simbólicos a
los comandos que usará el usuario (p.e. Ls, cp, cat, vi)
Ahora los enlaces:
Autor: ac Planificación y Administración de Redesl. 1º A.S.I.R.
-6-
f) En el .bash_profile crear la variable PATH para que acceda a ese directorio bin.
g) Crea dentro del home un directorio de trabajo work, propiedad del usuario con per-
misos rwx para él mismo.
h) En el .bash_profile haz que el usuario al entrar se redirija a ese directorio work (cd
/home/invitado/work))
Curso:ASIR 2 Módulo: Seguridad Autor: Antonio Carlos Pérez León
-7-
8. En el servidor, instalar el paquete tcpd si no está instalado
9. Examinar las páginas de manual de tcpd y hosts_access
Man tcpd
Man hosts_access:
Autor: ac Planificación y Administración de Redesl. 1º A.S.I.R.
-8-
10: Configurar los ficheros hosts.allow y hosts.deny para:
a) Denegar el acceso a todo el mundo a todos los servicios (en hosts.deny).
Añadimos la siguiente línea y comprobamos:
Curso:ASIR 2 Módulo: Seguridad Autor: Antonio Carlos Pérez León
-9-
b)Permitir (en hosts.allow) acceso desde los sistemas de la red local a los
siguientes servicios y comprobar que funcionan:
Autor: ac Planificación y Administración de Redesl. 1º A.S.I.R.
-10-
c)En hosts.allow indicar que todas las conexiones de FTP sean
denegadas, y que se envíe un mail a un usuario mostrando un mensaje
de intento de conexión
Curso:ASIR 2 Módulo: Seguridad Autor: Antonio Carlos Pérez León
-11-
Comprobamos:
d)Probar los comandos tcpdchk y tcpdmatch Tcpdchk: Comprueba de la configuración de hosts.deny y hosts.allow
Tcpdmatch: Predice cómo se comportarían las reglas ante una petición.
11.Examina los ficheros de configuración de PAM en el sistema real
12.Modifica el archivo /etc/security/time.conf para que el acceso por ssh
al servidor está prohibido para todos los usuarios excepto root los
fines de semana y fuera de horas de trabajo
Autor: ac Planificación y Administración de Redesl. 1º A.S.I.R.
-12-
Dónde 1500 son las 15:00, 2359 las 23:59.
13.Instalar el paquete ACL
*Ver páginas de manual de setfac y getfacl
man setfac y man getfacl
14.Remontar la partición /home con soporte ACL
/etc/fstab
Curso:ASIR 2 Módulo: Seguridad Autor: Antonio Carlos Pérez León
-13-
15.Crear varios ficheros y probar diferentes permisos por medio de las ACLs
Creamos los archivos:
Cambiamos usuario:
16.Definir permisos por defecto para un directorio y ver como se propagan los
permisos a los ficheros creados en ese directorio.
Autor: ac Planificación y Administración de Redesl. 1º A.S.I.R.
-14-
Creamos archivos dentro del directorio creado: