[Unix] Dudas varias

Iniciado por michelmarques, 15 Julio 2012, 01:17 AM

0 Miembros y 1 Visitante están viendo este tema.

michelmarques

Hola necesito consultar varias dudas sobre UNIX, me gustaría si me pudierais responder algunas.

1. ¿Qué tipo de entradas se pueden considerar como sospechosas en el fichero .bash_history o .history?

2.  En la mayoría de los sistemas unix la cuenta de root no tiene password (el passowrd está bloqueado). Se tiene que acceder meditante la orden sudo. Si debido a una edición incorrecta el fichero /etc/sudoers se corrompe, entonces la orden sudo no lo acepta como fichero de configuración válido, con lo que ningún usuario se podrá conectar como root.
Describe cómo se puede recuperar el control del ordenador (volver a tener acceso a la cuenta de root).

Nota: Supón que no está instalado el servidor de ssh.

3. ¿Por qué el fichero ".ssh/authorized_keys" no debe tener permisos de lectura para el grupo ni others?

4. ¿Por qué el fichero ".ssh/id_rsa" no debe tener permisos de lectura para el grupo ni others?

5. ¿Por qué el fichero "server.pem", generado con la siguiente orden, no debe tener permisos de lectura para el grupo ni others?


Muchas gracias.
Un saludo.

Foxy Rider

Citar1. ¿Qué tipo de entradas se pueden considerar como sospechosas en el fichero .bash_history o .history?

¿En general? Ninguna, todo atacante se toma el tiempo de adulterar dichos ficheros o pasarlos por shred
¿En específico? todo aquello que busque moverse por fuera de lo que esa cuenta está pensada

Citar2.  En la mayoría de los sistemas unix la cuenta de root no tiene password (el passowrd está bloqueado). Se tiene que acceder meditante la orden sudo. Si debido a una edición incorrecta el fichero /etc/sudoers se corrompe, entonces la orden sudo no lo acepta como fichero de configuración válido, con lo que ningún usuario se podrá conectar como root.

Para eso se requiere acceso físico para poder obtener acceso de diferentes formas ... sea booteando un sistema vía USB/DVD/etc o modificando el boot loader para que no levante el init, sino una shell directamente. Hecho eso corregís sudoers y volvés a iniciar el sistema normalmente.
El cómo hacer ambas cosas podés buscarlas en este mismo foro.

Citar
3. ¿Por qué el fichero ".ssh/authorized_keys" no debe tener permisos de lectura para el grupo ni others?

4. ¿Por qué el fichero ".ssh/id_rsa" no debe tener permisos de lectura para el grupo ni others?

5. ¿Por qué el fichero "server.pem", generado con la siguiente orden, no debe tener permisos de lectura para el grupo ni others?


¿En general? para que ningún otro usuario pueda acceder a esas claves.
Nótese que las intrusiones, en general son en base a fallos de software expuesto a la red, y dichos software corren con otras cuentas con privilegios inferiores a root o un usuario normal.
Mientras menos puedan interactuar dichos usuarios con el resto del sistema (y sólo en el ámbito que es requerido para el correcto funcionamiento del software expuesto), MEJOR.

Saludos.

michelmarques

Muchísimas gracias, de verdad.

Un saludo.