| Linux Security HOWTO: Una guía básica v0.9.11, 1 May 1998 | ||
|---|---|---|
| <<< Previous | Next >>> | |
Otro atacante local frecuente es el administrador del sistema linux. (Sí, vd.). Recuerde que sólo debe usar la cuenta de root para tareas específicas y cortas y el resto hacerlo como usuario normal. Ejecutar como root todo el tiempo es una idea muy muy mala. Use su o sudo para realizar las tareas que necesite.
Varios trucos para evitar que pueda estropear su propio Linux como root:
Cuando vaya a ejecutar un comando complejo, intente primero ejecutarlo de una forma no destructiva, especialmente los comandos con comodines. Por ejemplo, si quiere hacer un "rm foo*.bak", haga primero : "ls foo*.bak" y compruebe realmente los ficheros que va a borrar. También puede usar echo en algunas circunstancias.
Algunas personas encuentran útil hacer un "touch /-i" en sus sistemas Esto hará que comandos como "rm -rf *" le pregunten primero si realmente quiere borrar todos esos ficheros. ( Esto lo hace la shell, resolviendo primero el "-i" y tratándolo como la opción -i de rm). Esto no nos será útil con comandos rm sin *.
El comando path es importante para el usuario root. El comando path o la variable de entorno PATH define la busqueda de programas por la shell. Intente limitar tanto como sea posible el comando path para el usuario root, y nunca use '.', (directorio actual) en su PATH. Además, no tenga directorios con permiso de escritura en su ruta de búsquedas, ya que esto puede permitir a los atacantes modificar o poner nuevos binarios que se pueden ejecutar como root la próxima vez que ejecute el comando.
Nunca use la suit de herramientas rlogin/rsh/rexec (llamadas las r-utilidades) como as root. Puede ser objeto de diversos tipos de ataques y es peligroso ejecutarlas como root. Nunca cree un fichero .rhosts para root.
El fichero /etc/securetty contiene la lista de terminales desde las cuales se puede conectar el root. Por defecto (en Linux RedHat) se incluyen sólo las consolas virtuales (vtys). Tenga mucho cuidado al añadir otra cosa a este fichero. Debería poder presentarse al sistema de forma remota como un usuario normal u entonces usar su si lo necesita (mejor sobre ssh u otro canal cifrado) con lo cual no tiene necesidad de entrar directamente como root.
Cambie a root sólo para realizar tareas específicas simples. si tiene la necesidad de hacer algo, inténtelo en una shell de usuario normal hasta que esté seguro de qué hay que hacer como root.
Actúe de forma lenta y meditada cuando sea root. Sus acciones podrían afectar a un montón de cosas. ¡Piénselo antes de antes de teclear!
Si de forma inevitable tiene que permitir a alguien (espero que de mucha confianza) hacerse root en su máquina, hay algunas herramientas que le pueden ayudar. Sudo permite a los usuarios utilizar sus claves para acceder a un limitado número de comandos como root. Esto le permitiría, por ejemplo, permitir a un usuario montar y desmontar dispositivos removibles en su linux, pero sin tener otros privilegios. sudo también mantiene un registro de todos los intentos y éxitos, permite seguir la pista de los usuarios con los comandos y quor esta razón sudo funciona bien incluso en situaciones donde un determinado núemero de usariso tienen acceso de root, pero usan sudo para que se pueda tener un rastro de los cambios realizados.
| <<< Previous | Home | Next >>> |
| 4.1 Creación de nuevas cuentas | 5. Ficheros y Seguridad del Sistema de Archivos |