práctica seguridad

Seguridad en linux Antonio Carlos Pérez León Práctica de seguridad en sistemas Linux realizada para la asignatura Seguridad y alta disponibilidad I.E.S. GRAN CAPITAN 2013

[Año]

Curso:ASIR 2 Módulo: Seguridad Autor: Antonio Carlos Pérez León

-1-

Práctica Seguridad.Linux 1

1.- Probar el comando chage y ver como se modifica el fichero shadow.

Vemos las opciones posibles:

Vemos la configuración de la cuenta usuario

Cambiamos la caducidad de la contraseña

Autor: ac Planificación y Administración de Redesl. 1º A.S.I.R.

-2-

2.- Modificar los parámetros de contraseña de login.defs y ver como afecta a la

creación de nuevos usuarios

Modificamos login.def

Creamos un nuevo usuario

Comprobamos los cambios en /etc/shadow


-3-

3.-Modificar el fichero securetty para impedir el acceso de root a los ttys.

Impedimos el acceso a tty1 y tty2 comentandolos

4.- Modificar el fichero de configuración de ssh para impedir el acceso de root por

ssh

5.-Modificar el fichero PAM adecuado para hacer que los usuarios listados en un

fichero sólo puedan acceder a través de xdm(no deben poder acceder en la consola

ni mediante ssh)


-4-

6.-Probar el comando usermod para hacer que la cuenta de un usuario expire en

30 días desde hoy.

7.- Crear una cuenta de invitado con acceso restringido.

a) Crear una cuenta normal en el /etc/passwd cambiar el shell estándar por

uno restringido.

En /etc/passwd modificamos bash por rbash

b)Borrar en el home del usuario todos los ficheros (incluidos los .bashrc

.basg_profile, etc.)


-5-

c) Crear un fichero .bash_profile vacío, con permiso de lectura para propie-

tario, grupo y otros cuyo propietario sea root

d)Modificar el propietario del home del usuario a root y dar permisos de lec-

tura y ejecución a grupo y a otros (así el usuario sólo puede entrar en la

cuenta, pero no hacer nada más)

e) Crear un directorio bin (propietario root, permiso rx a grupo y otros) den-

tro del home del usuario, y en ese directorio ponemos enlaces simbólicos a

los comandos que usará el usuario (p.e. Ls, cp, cat, vi)

Ahora los enlaces:


-6-

f) En el .bash_profile crear la variable PATH para que acceda a ese directorio bin.

g) Crea dentro del home un directorio de trabajo work, propiedad del usuario con per-

misos rwx para él mismo.

h) En el .bash_profile haz que el usuario al entrar se redirija a ese directorio work (cd

/home/invitado/work))


-7-

8. En el servidor, instalar el paquete tcpd si no está instalado

9. Examinar las páginas de manual de tcpd y hosts_access

Man tcpd

Man hosts_access:


-8-

10: Configurar los ficheros hosts.allow y hosts.deny para:

a) Denegar el acceso a todo el mundo a todos los servicios (en hosts.deny).

Añadimos la siguiente línea y comprobamos:


-9-

b)Permitir (en hosts.allow) acceso desde los sistemas de la red local a los

siguientes servicios y comprobar que funcionan:


-10-

c)En hosts.allow indicar que todas las conexiones de FTP sean

denegadas, y que se envíe un mail a un usuario mostrando un mensaje

de intento de conexión


-11-

Comprobamos:

d)Probar los comandos tcpdchk y tcpdmatch Tcpdchk: Comprueba de la configuración de hosts.deny y hosts.allow

Tcpdmatch: Predice cómo se comportarían las reglas ante una petición.

11.Examina los ficheros de configuración de PAM en el sistema real

12.Modifica el archivo /etc/security/time.conf para que el acceso por ssh

al servidor está prohibido para todos los usuarios excepto root los

fines de semana y fuera de horas de trabajo


-12-

Dónde 1500 son las 15:00, 2359 las 23:59.

13.Instalar el paquete ACL

*Ver páginas de manual de setfac y getfacl

man setfac y man getfacl

14.Remontar la partición /home con soporte ACL

/etc/fstab


-13-

15.Crear varios ficheros y probar diferentes permisos por medio de las ACLs

Creamos los archivos:

Cambiamos usuario:

16.Definir permisos por defecto para un directorio y ver como se propagan los

permisos a los ficheros creados en ese directorio.


-14-

Creamos archivos dentro del directorio creado:

práctica seguridad

Documents