IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Linux Professional Institute Certificate. LPIC-1

Lpic1 large.gif
Certificat LPIC-1
Examen: 102 (torneu a la resta de temes)
Fitxers: LPI110.1_.pdf (LPI110.1_.odp)
Objectius: http://www.lpi.org/eng/certification/the_lpic_program/lpic_1/exam_102_detailed_objectives
Dipòsit SVN: https://svn.projectes.lafarga.cat/svn/lpi/Materials/Examen_102/110.1
Usuari: anonymous
Paraula de pas: qualsevol paraula de pas

Objectius del tema

110.1. Realitzar tasques bàsiques de seguretat
Objective.jpg
  • Objectiu: Els candidats han de saber com revisar la configuració del sistema per tal d'assegurar la seguretat del mateix d'acord amb les polítiques locals de seguretat
  • Pes: 1
060317 Icon - Theory of Knowledge v01 pdc.jpg

Àrees Clau de Coneixement:

Icon list.jpg

La següent és una llista parcial de fitxers, termes i utilitats utilitzades:

Text-editor.svg

Apunts: LPI 110.1. Realitzar tasques bàsiques de seguretat

Plantilla per prendre apunts

Configuracions de seguretat

Auditar un sistema per tal de trobar fitxers amb el bit suid/sgid establert

Consulteu Comanda_find#Buscar_fitxers_amb_permisos_SUID_i_GUID.

Consulteu també:

Establir o canviar paraules de pas i establir polítiques d'expiració de paraules de pas

Consulteu:

Utilitzar nmap i netstat per tal de descobrir ports oberts del sistema

L'ordre nmap ens permet consultar els ports oberts del nostre sistema:

sudo nmap 192.168.202.3

Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-10 20:19 CEST
Interesting ports on 192.168.202.3:
Not shown: 996 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
5800/tcp open  vnc-http
5900/tcp open  vnc

Tots aquells serveis que estiguin escoltant peticions però no utilitzem augmenten la inseguretat del sistema.

NOTA: NO és el mateix que executar $ sudo nmap localhost. En un cas s'utilitza la xarxa (sockets TCP/IP) i en l'altre s'utilitza la interfície loopback. Hi ha processos i serveis accessibles en local però no per xarxa. de fet, cal tenir en compte que si la màquina és multihomed (multiples IP a múltiples targetes de xarxa) caldria fer l'nmap a cada interfície de xarxa.

Amb netstat podeu executar:

$ netstat --inet --listen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 *:ssh                   *:*                     LISTEN     
tcp        0      0 localhost:ipp           *:*                     LISTEN     
tcp        0      0 localhost:smtp          *:*                     LISTEN     
tcp        0      0 *:5800                  *:*                     LISTEN     
tcp        0      0 localhost:mysql         *:*                     LISTEN     
udp        0      0 *:bootpc                *:*                                
udp        0      0 *:mdns                  *:*                                
udp        0      0 *:37740                 *:*   

Hi ha serveis que s'estan executant a totes les interfícies de xarxa (*) i altres només a localhost (SMTP, IPP i MySQL)

IMPORTANT: Fixeu-vos que l'ordre netstat si mostra els serveis UDP. En canvi nmap per defecte no ho fa. Cal utilitzar:

$ sudo nmap -sU 192.168.202.3

Starting Nmap 5.00 ( http://nmap.org ) at 2010-05-10 20:22 CEST
Interesting ports on 192.168.202.3:
Not shown: 998 closed ports
PORT     STATE         SERVICE
68/udp   open|filtered dhcpc
5353/udp open|filtered zeroconf

És a dir tenim el client de DHCP (port 68) i el client de configuració zero executant-se.

Consulteu nmap i netstat.

Establir els límits de logins d'usuari, processos i utilització de memòria

Consulteu també ulimit.

Carpeta /etc/security

/etc/security/limits.conf

La sintaxi de les línies és:

<domain> <type> <item> <value>

On:

  • <domain> pot ser:
  • Un nom d'usuari
  • In nom de grup (@nomgrup). No confondre amb els noms de grup de NIS
  • El comodí (*): indica la configuració per defecte, per a tots els usuaris i grups que no s'indica explícitament la configuració dels límits.
  • El comodí (%): només s'utilitza per al límit maxlogins i també es pot utilitzar la sintaxis per a grups (%grup)
  • <type>:
  • hard: Els límits hard (durs) són establerts pel superusuari i són assegurats/implementats pel nucli del sistema (kernel). Els usuaris no poden superar aquests límits de cap forma possible.
  • soft: Els limits soft (suaus). Els usuaris els poden modificar dins del rang permès, indicat per un valor hard establert prèviament. Són els valors per defecte si els usuaris no els canvien
-: Estableix tant el límit soft com el límit hard al mateix temps.
  • <item>:
  • core: limita la mida màxima del fitxers core en KB.
  • data: mida màxima de les dades en KB.
  • fsize: moda màxima de fitxer en KB
  • memlock: maximum locked-in-memory address space (KB)
  • nofile: Nombre màxim de fitxers oberts
  • rss: mida màxima de la memòria RSS (resident set size) en KB (ignorat a versions de Linux 2.4.30 o superiors.)
  • stack: mida màxima de la pila en KB
  • cpu: màxim temps de CPU en minuts
  • nproc: nombre màxim de processos.
  • as: address space limit (KB)
  • maxlogins: maximum number of logins for this user except for this with uid=0
  • maxsyslogins: nombre màxim de logins al sistema.

NOTA: Els límits de grup i els wildcard no s'apliquen a l'usuari root. Per establir uns límits a l'usuari cal indicar-ho implícitament i cal tenir en compte que el mateix usuari root pot modificar aquesta configuració tornant a editar el fitxer.

Consulteu també el manual:

$ man limits.conf

Ús bàsic de sudo i utilització

Consulteu:

Ordres

find

Consulteu find

passwd

Consulteu passwd

lsof

Consulteu lsof

nmap

Consulteu nmap

chage

Consulteu chage

netstat

Consulteu netstat

sudo

Consulteu sudo

/etc/sudoers

Consulteu /etc/sudoers

su

Consulteu su

usermod

Consulteu usermod

ulimit

Consulteu ulimit. Vegeu també Bomba fork.

Vegeu també

Enllaços externs