5.1. Politicas de acceso

Vamos a estudiar algunas opciones que nos brindan los SSOO actuales para controlar el acceso y el uso que l@s usuari@s puedan hacer de los recursos que ofrecemos, siempre desde una perspectiva LOCAL al Sistema Informático.

5.1.1. Contraeñas

Una de los principales aspectos que ha de tratar una política de seguridad es la POLÍTICA DE CONTRASEÑAS(cuestiones como la complejidad o la durabilidad), en cuanto al método de autentificación que proporciona el SO ó protocolo de autentificación en red, que estemos utilizando.

Advertencia

¿Sabrías poner 2 ejemplos de protocolos de identificación en red?

Sin embargo, existen otros niveles de seguridad que podemos proteger con contraseña, por ejemplo:
  • BIOS.

  • Gestor de arranque.

CONTRASEÑA EN LA BIOS

Dependiendo del modelo de placa base el acceso a la BIOS se realizará de un modo u otro, así como la configuración de la contraseña en ella. Puede haber 2 contraeñas a configurar en una BIOS:

  1. Contraseña de administrador: De acceso a la BIOS.

  2. Contraseña de usuario: Para iniciar el ordenador.

Advertencia

¿Que contraseña te parece más importante, la A ó la B?¿Como intentarías acceder al PC en caso de olvidar la contraseña que tiene la BIOS?

CONTRASEÑA EN GESTOR DE ARRANQUE

El gestor de arranque que por defecto instalamos con cualquier versión de Ubuntu/Debian es GRUB. Para evitar que personas no autorizadas tengan acceso a la edición de las opciones de arranque de los distintos sistemas operativos que controla el GRUB, estableceremos una contraseña.

Podemos establecer contraseñas en GRUB a 2 niveles:

  1. Impedir el acceso a las opciones de GRUB que podemos modificar al arrancar el ordenador.

  2. Proteger los SO de accesos no autorizados.

Algunas de las opciones que tenemos:
  1. Modificar el Grub para que las entradas estén protegidas por contraseña, para acceso o edición.Tal y como muestra este manual, podemos ahorrarnos accesos a nuestro sistema en los que se modifiquen configuraciones de usuario

  2. Ganar acceso con privilegios aprovechando algunas funcionalidades propias de estos programas, como resetear una contraseña de acceso, accede al siguiente tutorial para ver un ejemplo.

Advertencia

¿Sabrías realizar la configuración de contraseña en el gestor de arranque GRUB para evitar modificaciones de las opciones y accesos no autorizados?

GESTORES DE CONTRASEÑAS

Un gestor de contraseñas es un programa que se utiliza para almacenar una gran cantidad de parejas usuario/contraseña. La base de datos donde se guarda esta información está cifrada mediante una única clave (contraseña maestra o en inglés master password), de forma que el usuario sólo tenga que memorizar una clave para acceder a todas las demás. Esto facilita la administración de contraseñas y fomenta que los usuarios escojan claves complejas sin miedo a no ser capaces de recordarlas posteriormente.

  • Los navegadores incorporan un gestor de contraseñas que se puede proteger con una contraseña maestra.

  • Aplicaciones independientes que tienen el mismo cometidos son más seguras y completas.

  • Existen gestores de contraseñas online que permiten gestionar gran cantidad de cuentas de forma remota.

Gestor contraseñas GUI Linux

Advertencia

  1. ¿Sabrías encontrar ejemplos de gestores de contraseñas para Windows y Linux?

  2. Encuentra algún gestor en linea, averiguando el coste asociado.

  3. ¿En general crees que son seguras este tipo de herramientas?

  4. ¿Usas los que incorporan los navegadores actuales?

5.1.2. Cifrado de información.

Además de en una comunicación, podemos utilizar las herramientas de cifrado aplicándolas a estructuras de información de nuestros dispositivos de almacenamiento:

  • Directorios

  • Particiones

  • Discos

Existen multitud de opciones para encriptar unidades de almacenamiento, por ejemplo:

  1. Integradas en el S.O:

Truco

Intenta encriptar una carpeta creada por ti con información importante. Tambíen podrias hacer uso del comando ecryptfs-migrate-home.

  1. Aplicaciones externas → gnome-disk-utility con cryptsetup. Nos permitirá encriptar dispositivos, entre otras cosas.

  2. Virtualización → Los sistemas de virtualización lo incorporan (p.e VirtualBox).

Advertencia

Imagina algún escenario en el que sería de utilidad realizar esto en los equipos.


PRÁCTICA 1
Realiza la práctica 1 del Tema 4 del aula virtual. Vas a realizar una instalación encriptada de un SO en una estrucutra dinámica que te permita amplicar el espacio para futuras instalaciones.

5.1.3. Permisos

Los SSOO modernos permiten asignar permisos (o derechos de acceso) a los archivos para determinados usuarios y grupos. De esta manera, se puede restringir o permitir el acceso a un directorio/archivo para su visualización de contenidos, modificación y/o ejecución. Estas capacidades se han ido mejorando hasta poder establecer distintos ’niveles’ de asignación de permisos de acceso1:

  1. Discretionary Access Control (DAC): Control de acceso discrecional. Son, por ejemplo, los permisos de Linux que ya conocemos (chmod…). Los cuales pueden ampliarse con elementos como:
    • Access Control List (ACL): Listas de control de acceso.

    • Bits especiales: SUID, SGID, Sticky Bit..

    En las Utilidades del Aula virtual tienes un manual de este tipo de permisos.

  2. Mandatory Access Control.(MAC): Permite delimitar qué puede ejecutar un proceso en su ejecución (SELinux en redhat, AppArmor en Ubuntu..) → ¿Vemos algún ejemplo?

  3. Role Base Access Control(RBAC): Control de acceso basado en roles. Lo implementan algunos SO.

En el espacio virtual del módulo tienes un manual para la gestión de permisos DAC en Windows y Linux. Puede serte útil para la realización de la práctica 2.

Una funcionalidad de los SO, es la de elevación de privilegios, con la cual podemos hacer algo como si fuéramos otro usuario. ¡¡Esto puede ser potencialmente peligroso!!2

Nota

  • Windows: UAC

  • Ubuntu(Linux): sudo/sudoers → ¿Sabrías modificar el sudoers para que solo te dejara algunos comandos? ¿Y para que no te pida contraseña?

  • Linux: umask

5.1.4. Cuotas

Los SSOO poseen mecanismos para impedir que los usuarios hagan un uso indebido de la capacidad del disco, y así evitar la ralentización del equipo por saturación del sistema de ficheros y el perjuicio al resto de los usuarios. A estas configuración se le denomina CUOTA DE DISCO o simplemente CUOTAS.

Nota

Los sistemas de cuotas NO SE CONFIGURAN SOBRE DIRECTORIOS, sino sobre sistemas de ficheros (esas lineas que incluimos en el fichero /etc/fstab ¿Recuerdas?):

  • Particiones.

  • RAID

  • LVM

WINDOWS

  • Clic derecho sobre la partición → Propiedades → Cuota

  • Si solo queremos un seguimiento no activamos Denegar espacio de disco a usuarios ….

  • Si queremos limitar el espacio, debemos definir la capacidad de disco y el nivel de advertencia y activar la opción anterior.

  • Si se marcan las opciones del final, el SO registraría los eventos de superación(limite o advertencia.)

  • En valores de cuota podemos comprobar el estado actual del uso de cuota de los usuarios

Gestión cuotas en Windows

LINUX


PRÁCTICA 2
Realiza la práctica 2 del Tema 4 del aula virtual. Vas a montar un sistema de cuotas en Linux y en Windows.

5.1.5. Chroot

En los sistemas Unix una jaula chroot, es una operación que invoca un proceso, cambiando para este y sus hijos el directorio raíz del sistema. Se llama así por el nombre del comando que se usa para crearla:

#chroot [--userspec=abel] /home/abel [/bin/bash]
A tener en cuenta:
  • Pueden crearse jaulas para usuarios|grupos específicos.

  • Debe hacerse accesibles todos los elementos que necesite el programa para ejecutarse(DIRECTORIOS, LIBRERÍAS…)

Gestión cuotas en Windows
¿Que usos puede tener?


  1. Puedes encontrar una explicación más detallada en: https://www.incibe-cert.es/blog/control-acceso

  2. En la siguiente dirección puedes encontrar una explicación más detallada y un ejemplo básico:https://4geeks.com/