Академический Документы
Профессиональный Документы
Культура Документы
CI: V:23647988
1. Conexin sftp
1.1 Diferencia entre ls y lls.
ls:
ls (list de listar) es un comando de sistema opertico Unix y derivados que muestra un
listado con los archivos y directorios de un determinado directorio. Los resultados se
muestran ordenados alfabticamente. Es importante destacar que, a pesar de listar la
mayora de archivos, aquellos cuyo nombre comienzan con punto Archivos ocultos, la
opcin a inhibe este y los lista todos.
lls:
lls utiliza las mismas opciones del comando ls, pero en una conexin sftp y permite
realizar el listado de los archivos y directorios en la maquina local desde la que se est
accediendo de manera remota mientras que el comando ls utilizado en una conexin sftp
este comando lista el directorio y archivos de la maquina accedida.
Uso del ls y lls sin conexin sftp, como se comprueba al comando lls no se le encuentra
un sentido de accin.
Uso del ls y del lls en una conexin sftp.
1.2 Secuencia de comandos utilizados para subir y bajar archivos: (De linnux1 a linux2)
1. Se realiza la conexin mediante sudo sftp linux3@192.168.1.3
2. Para enviar se utiliza el comando put (paht origen) nombre del archivo (pat de
destino).
3. Para recibir un archivo get (nombre del archivo).
2. Conexin ssh
2.1. El comando who puede listar los nombres de los usuarios conectados actualmente,
su terminal, el tiempo que han estado conectados, y el nombre del host desde el que se
han conectado. Entre las distintas opciones para visualizar los usuarios conectados en el
caso de ssh se usa la opcin who ips, que permite identificar por medio de la ip, los
usuarios conectados a una mquina.
Uso del who ips para visualizar los usuarios conectados por medio de ssh a Linux 2,
como se puede observar a esta mquina de ip 192.168.1.2 entan conectadas
linux1(192.168.1.1) desde donde se estn realizando la conexin mostrada en la pantalla
y linux3(192.168.1.3).
2.3 Se puede realizar una transferencia de un archivo de una maquina B a una maquina
C, desde una maquina A, mediante SSH y haciendo el uso del SCP.
2.4 Para identificar procesos se realiza el uso del comando ps, el cual muestra el que se
est utilizando para la conexin por medio de SSH y al identificar el PID del proceso de
la maquina local, para luego al usar el comando ps | grep bash el cual mostrar los
distintos terminales levantados en la maquina remota.
Uso de ps, para la identificacin del proceso para luego hacer uso del kill -9 que cerrara
la terminar identificada.
Uso de ssh X para la ejecucin de procesos grficos, este caso se realiza la creacin de
un documento de texto desde linux1 a ser guardado en linux2.
3.2 Para la ejecucin de procesos grficos en la mquina remota se utiliza el comando
export DISPLAY=:0.0, la cual permite ejecutar procesos grficos en la maquina remota.
Uso del comando export DISPLAY=:0.0, para ejecutar una aplicacin grfica en la
mquina remota.
3.3 La utilidad del ssh muchas veces es necesario acceder remotamente a un Sistema
para efectuar tareas de diversa ndole, como mantenimiento, reconfigurar servicios,
buscar archivos, etc. En esta tarea juega un papel vital el uso de SSH (secure shell) que
permite acceder al sistema remoto usando una conexin cifrada (encriptada), dndonos
acceso a una lnea de comandos del sistema remoto. Pero hay ocasiones en que esto no
es suficiente. Hay veces en las que es necesario operar con el sistema remoto ms all
de la lnea de comandos. Es ah donde aparece la necesidad de escritorios remotos, de
ejecucin remota de programas grficos y la necesidad de cifrar esas conexiones.
Entre los problemas de seguridad estan el acceso por parte de usuarios no autorizados o
distintos ataques desde internet como fuerza bruta o Exploits el servicio SSH debido a
los bugs que se presenta en este servicio.
4.2 umask o User mask, la mscara de usuario usada para establecer los permisos a un
fichero o directorio recin creado.
Ejemplo, creando el fichero usoUmask.txt y haciendo uso del comando ls l, se
tienen la cual retorna los siguientes permisos: -rw-rw-r-- 1 linux1 linux1 34 abr 23
21:21 usoUmask.txt.
Se puede observar que el fichero ha sido creado con permisos 0644, es decir,
lectura y escritura para el propietario y lectura para el grupo y para el resto de los
usurios.
Ahora luego de la creacin de un directorio los permisos son los siguientes:
drwxrwxr-x 2 linux1 linux1 4096 abr 23 21:51 usoUmask`.
Se puede apreciar que los permisos para los directorios son diferentes, en ese
caso 0755, que se puede traducir en lectura, escritura y ejecucin para el propietario;
lectura y ejecucin para el grupo y para el resto de usuarios.
Es importante destacar que el valor por defecto 0002, y existen distintas formas
de realizar el cambio de la mscara de seguridad, puede ser realizando el cambio de esta
mascara de manera temporal y haciendo uso de la sintaxis de permisos para valor de
usuario, grupo y otros. En este caso para cambiar la umask a r- - r- - - - -, se realiza de la
siguiente manera umask u=r,g=r,o=.
Uso de umask para realizar el cambio de la mscara de seguridad.
5. sudo y sudoers
5.1 Sudoers: Es el archivo de configuracin de sudo, generalmente ubicado bajo /etc y
el cual puede ser modificado a travs de visudo u otro editor de text, es en este archivo
en el cual se establece quien(usuarios) pueden ejecutar (comandos) y de qu modo
(opciones), generando efectivamente un osta de control de acceso que puede ser tan
detallada como se desee.
Se puede realizar la divisin de la configuracin en tres partes, tales como:
Alias, Opciones(Defaults),Reglas de acceso.
Aunque ninguna de estas es obligatoria, o tienen que estra en un orden
especifico, pero es necesario al menos la existencia de las Reglas de acceso.
Para la aplicacin de estas reglas se tiene que tener en cuenta:
Alias: Se refiere a un usuario, un comando o a un qeuipo. El alias engloba bajo
un solo nombre (nombre de alias) una serie de elementos que despus en la larte de
definicin de reglas sern refiridos aplicados bajo cierto criterio. La forma de cracin de
un alias seria la siguiente:
tipo_alias NOMBRE_DEL_ALIAS = elemento1, elemento2, elemento3, ... elementoN
tipo_alias NOMBRE1 = elemento1, elemento2 : NOMBRE2 = elemento1, elemento2
Un ejemplo sera el siguiente:
En este caso se puede observar que al usuario redes se le condensen todos los
privilegios de uso de comando y utilizacin de programas, si por ejemplo se quisiera
cambiar para que este solo ejecute un determinado programa este sera el archivo y la
lnea a editar sera en la cual este est representado en su alias.
En esta imagen se puede observar que para la utilizacin de internet a pesar de ser la ip
de la maquina 192.168.4.26, al utilizar el comando traceroute se observa que el servicio
lo pide es la mquina de ip 192.168.4.1.
Reglas de acceso
Aunque no es obligatorio declarar alias, ni opciones (defaults), y de hecho
tampoco reglas de acceso, pues el archivo /etc/sudoers no tendra ninguna razn de ser
si no se crean reglas de acceso. De hecho podramos concretarnos a crear solamente
reglas de acceso, sin opciones ni alias y podra funcionar todo muy bien.
Las reglas de acceso definen que usuarios ejecutan que comandos bajo que
usuario y en que equipos. La mejor y (segn yo, nica manera) de entender y aprender a
configurar sudoers es con ejemplos, asi que directo al grano:
5.2
Cmnd_Alias
Definen uno o ms comandos y otros alias de comandos que podrn ser
utilizados despus en alias de usuarios. Ejemplos:
Cmnd_Alias WEB = /usr/sbin/apachectl, /usr/sbin/httpd, sudoedit /etc/httpd/
Indica que a quien se le aplique el alias WEB podr ejecutar los comandos
apachectl, httpd y editar todo lo que este debajo del directorio /etc/httpd/, ntese que
debe de terminar con '/' cuando se indican directorios. Tambin, la ruta completa a los
comandos debe ser indicada.
Cmnd_Alias APAGAR = /usr/bin/shutdown -h 23\:00
Al usuario que se le asigne el alias APAGAR podr hacer uso del comando
'shutdown' exactamente con los parmetros como estn indicados, es decir apagar -
h (halt) el equipo a las 23:00 horas. Ntese que es necesario escapar el signo ':', asi
como los smbolos ' : , = \
Cmnd_Alias NET_ADMIN = /sbin/ifconfig, /sbin/iptables, WEB
NET_ADMIN es un alias con los comandos de configuracin de interfaces de
red ifconfig y de firewall iptables, pero adems le agregamos un
alias previamente definido que es WEB, asi que a quien se le asigne este alias podr
hacer uso de los comandos del alias WEB.
Cmnd_Alias TODO_BIN = /usr/bin/, !/usr/bin/rpm
A quien se le asigne este alias podr ejecutar todos los comandos que estn
dentro del directorio /usr/bin/ menos el comando 'rpm' ubicado en el mismo
directorio. NOTA IMPORTANTE: este tipo de alias con un permiso muy amplios
menos '!' algo, generalmente no son una buena idea, ya que comandos nuevos que se
aadan despus a ese directorio tambin podrn ser ejecutados, es mejor siempre definir
especficamente lo que se requiera.
User_Alias
Definen a uno o ms usuarios, grupos del sistema (indicados con %), grupos de
red (netgroups indicados con +) u otros alias de usuarios. Ejemplos:
User_Alias MYSQL_USERS = andy, marce, juan, %mysql
Indica que al alias MYSQL_USERS pertenecen los usuarios indicados
individualmente ms los usuarios que formen parte del grupo 'mysql'.
User_Alias ADMIN = sergio, ana
'sergio' y 'ana' pertenecen al alias ADMIN.
User_Alias TODOS = ALL, !samuel, !david
Aqui encontramos algo nuevo, definimos el alias de usuario TODOS que al
poner como elemento la palabra reservada 'ALL' abarcara a todos los usuarios del
sistema, pero no deseamos a dos de ellos, asi que negamos con '!', que seran los
usuarios 'samuel' y 'david'. Es decir, todos los usuarios menos esos dos.
NOTA IMPORTANTE: este tipo de alias con un permiso muy amplios menos '!' algo,
generalmente no son una buena idea, ya que usuarios nuevos que se aadan despus al
sistema tambin sern considerados como ALL, es mejor siempre definir
especficamente a los usuarios que se requieran. ALL es vlido en todos los tipos de
alias.
User_Alias OPERADORES = ADMIN, alejandra
Los del alias ADMIN ms el usuario 'alejandra'
Runas_Alias
Funciona exactamente igual que User_Alias, la nica diferencia es que es
posible usar el ID del usario UID con el caracter '#'.
Runas_Alias OPERADORES = #501, fabian
Al alias OPERADORES pertenecen el usuario con UID 501 y el usuario 'fabian'
Host_Alias
Definen uno o ms equipos u otros alias de host. Los equipos pueden indicarse
por su nombre (si se encuentra en /etc/hosts) por nombre de dominio, si existe un
resolvedor de dominios, por direccin IP, por direccin IP con mscara de red.
Ejemplos:
Usuario scomputacional sin privilegios root, se puede observar que no puede acceder en
este caso al archivo sudoers.
Usuario scomputacional con privilegios root.