Professional Documents
Culture Documents
Mdulo 2:
Seguridad
del
Sistema
de
Archivos
Objetivo General
Al finalizar este mdulo, ser capaz de regular el acceso de
los archivos y directorios del sistema de archivos.
Objetivos Especficos
INICTEL
Mdulo 2
Introduccin
En todo sistema GNU/Linux los archivos pertenecen a quien los crea, por lo tanto es el nico que
puede borrarlos, ejecutarlos, etc. Esto es as porque Unix/Linux estaba pensado para ser manejado
por muchos usuarios a la vez y de esta forma nadie poda acceder a sus archivos sin su
consentimiento.
INICTEL
Mdulo 2
Sumario:
1. b
2.1. Permisos.
4-5
5-6
6
6-8
8-9
10 - 11
12
12 - 13
13
13 - 15
15 - 16
16 - 17
17 - 18
19
2.6.1.1. lsatrr
19
2.6.1.2. chattr
20 21
22
2.7.1.Autoevaluacin.
22
2.7.2.Laboratorio.
23 - 24
25
26
INICTEL
Mdulo 2
2.1.
Permisos
Los permisos regulan el acceso al archivo en los niveles de usuario propietario, grupo propietario y
los otros usuarios. Para ver los permisos de los archivos, ejecutamos (Ver Figura 1):
ls -l
Los signos que aparecen al comienzo a la izquierda de la pantalla son los permisos de acceso. Para
entenderlos hay que tomarlos de 3 en 3, menos el guin del comienzo, que indica si es archivo,
directorio o enlace. (Ver Figura 2)
INICTEL
Mdulo 2
r (read)
: Permiso de lectura.
w (write)
: Permiso de escritura
Su distribucin de 3 en 3 se debe a que los 3 primeros corresponden al propietario del archivo, los 3
siguientes al grupo al que ese usuario pertenezca y los ltimos al resto de usuarios.
INICTEL
Permisos
r
Archivo
Directorio
El contenido del archivo El contenido del directorio puede
Mdulo 2
(asumiendo
Sin el permiso ejecucin en el directorio, solamente puede listar los nombres de los archivos del
directorio.
2.2.
Los usuarios y grupos propietarios de archivos y directorios son gobernados por las siguientes reglas:
Cuando un archivo es creado, el usuario que lo cre es el propietario.
Cuando un archivo es creado, pertenece al grupo del usuario que lo cre.
INICTEL
Mdulo 2
INICTEL
Mdulo 2
Los comandos chown y chgrp soportan la opcin R, la cual permite cambiar la propiedad de un
rbol de directorios completo. (Ver Figura 6)
Sintaxis:
chown R nuevo_propietario directorio
INICTEL
Mdulo 2
2.3.
El comando que permite cambiar los permisos de acceso a los archivos es chmod, se tiene dos
mtodos para realizar los cambios de permisos:
Mtodo nivel de control de acceso.
Mtodo octal.
accin
permiso_acceso
Descripcin
u usuario propietario
g
grupo propietario
otros usuarios
a
+
elimina el permiso
=
r
nicos permisos
lectura
escritura
x ejecucin
Tabla 2. Opciones del comando chmod
Ejemplo1:
Agregar el permiso escritura al grupo propietario y a los otros usuarios del archivo postres. (Ver
Figura 7)
chmod go+w postres
INICTEL
Mdulo 2
INICTEL
10
Mdulo 2
INICTEL
11
Mdulo 2
4+2=6
r-x
4+1=5
- -x
El valor ms grande posible (rwx) es 7, cada conjunto de permisos puede ser representado por un
slo dgito octal entre 0 y 7. La coleccin de todos los tres conjuntos de los bits rwx es entonces
representado como un nmero octal de tres dgitos.
Ejemplos:
rw-rw -r- -
664
rw-r- - - - -
640
r- -r- --r- -
444
Sintaxis:
INICTEL
12
Mdulo 2
INICTEL
13
Mdulo 2
2.4.
Permisos predeterminados
Cuando un archivo es creado, sus permisos son determinados por un valor llamado umask.
umask es un nmero octal de tres dgitos.
Su valor es sustrado del valor 777 (para directorios) o 666 (para archivos). El valor predeterminado
es 022.
archivos:
complemento a:
666
022
-------644
directorios:
rw-r--r--
complemento a:
777
022
-------755
INICTEL
rwxr-xr-x
14
Mdulo 2
2.4.1. Comando
umask
Es el comando que define los permisos por defecto para la creacin de archivos y directorios. (Ver
Figura 11)
Sintaxis:
umask [valor]
INICTEL
15
Mdulo 2
2.5.
En adicin a los bits rwx. GNU/Linux soporta otros tres tipos de acceso: sticky bit (t), SUID/SGID (s).
Localizacin de los permisos:
SUID:
s en vez de x
usuario propietario
SGID:
s en vez de x
grupo propietario
Sticky bit:
t en vez de x
otros usuarios
2.5.1. SUID/SGID
El bit SUID es muy importante solamente para ejecucin de procesos. Un proceso puede activar
el identificador de usuario (SUID), esto permite que durante la ejecucin del programa un usuario
se convierta en el usuario propietario del archivo.
chmod u+s archivo
Ejemplo:
INICTEL
16
Mdulo 2
NOTA: Hay que tener mucho cuidado al aplicar este permiso, porque usuarios no autorizados
pueden tomar privilegios.
El bit SGID definido en un directorio, fuerza a que los nuevos archivos creados en ese directorio
son propiedad del mismo grupo propietario del directorio (en lugar del grupo del creador del
archivo).
chmod g+s directorio
Ejemplo:
Ingresamos como el sper-usuario y creamos el archivo /curso/inventario/abril, luego otorgamos el
permiso SGID sobre el directorio /curso/inventario
touch /curso/inventario/abril
chmod g+s /curso/inventario/
Luego creamos el archivo /curso/inventario/mayo. Qu ha sucedido? (Ver Figura 14)
INICTEL
17
Mdulo 2
18
Mdulo 2
19
Valor
Mdulo 2
En la representacin numrica, tenemos los niveles de control de acceso (bits de control de acceso,
usuario, grupo y otros) son ledos como un nmero binario de cuatro bits.
Ejemplo:
Crear el directorio /curso/documentos,
INICTEL
20
Mdulo 2
2.6.
De la misma forma en que FAT tiene atributos de archivo (archivado, archivo de sistema, invisible),
los sistemas de archivos de GNU/Linux tienen los suyos propios, pero son diferentes.
Estos atributos no son muy usados; sin embargo, si proporcionan un sistema sumamente seguro.
Estos atributos slo se pueden aplicar a los directorios y a los archivos regulares.
Ellos son los siguientes (Ver Tabla 5):
Atributo
Descripcin
Si un archivo o directorio tiene este atributo activo, cuando sea accedido, ya
sin tiempo de
Esto puede ser til, por ejemplo, para archivos o directorios que se acceden
Acceso)
(append only,
Slo para
adjuntar):
d
respaldo)
(immutable,
inmutable)
vnculo al mismo y no puede borrarse. Slo root puede activar o desactivar este
atributo.
Note que esto tambin impide cambios al tiempo de acceso, por lo tanto, no
(secure deletion,
seguridad para la
accin de
borrado)
INICTEL
21
Mdulo 2
(Synchronous
mode, modo
inmediatamente.
sincrnico)
Por ejemplo, podra querer activar el atributo i en los archivos esenciales del
sistema para evitar malas sorpresas. Tambin considere el atributo A en las
pginas Man por ejemplo: esto evita un montn de operaciones de disco y, en
particular, prolonga la duracin de la batera en las porttiles.
Tabla 5. Atributos
INICTEL
22
Mdulo 2
2.6.1.1.
lsattr
Descripcin
Lista recursivamente los atributos de
-a
del
los
directorio,
INICTEL
23
Mdulo 2
2.6.1.2.
chattr
Descripcin
Cambia recursivamente los atributos de
los
del
atributos
archivo.
Tabla 7. Modificadores del comando chattr
Como modo se especifican los cambios a los permisos. En la Tabla 8 se muestra las acciones que se
pueden definir a cada atributo:
Accin
+
Descripcin
Agregar el atributo a la lista de atributos
del archivo.
Remueve el atributo a la lista de atributos
del archivo.
Determina nicos atributos.
Tabla 8. Accin
INICTEL
24
Mdulo 2
Permiso
A
S
Descripcin
no actualizar tiempos de acceso
actualizacin sincrona (es decir escribe directamente
a
c
d
i
j
s
kernel),
al emplear el programa dump el archivo es copiado
el archivo no puede ser modificado o renombrado
llevar bitcora de datos
el archivo debe sobreescribirse con ceros si es
eliminado
en caso de ser borrado por el usuario una copia es
salvada para su posible recuperacin
Tabla 9. Permisos
Ejemplo:
Otorgar el atributo inmutable (-i) a un archivo y luego borrarlo. Qu ha sucedido? (Ver Figura 18)
INICTEL
25
Mdulo 2
2.7.
2.7.1. Autoevaluacin
1. Usando el mtodo octal, otorgar al grupo propietario ejecutivos todos los permisos, a otros
usuarios denegar todos los permisos y que todos los archivos creados en el directorio /empresas
tengan como grupo propietario al grupo propietario del directorio padre (ejecutivos). Cules son
los comandos necesarios para que el requerimiento se cumpla?
(a) chmod 2770 --- chgrp /empresas ejecutivos
(b) chmod 2070 --- chgrp /empresas ejecutivos
(c) chmod 2770 --- chgrp ejecutivos /empresas
(d) chmod 2775 --- chgrp ejecutivos /empresas
2. Cambiar al usuario y grupo propietario del directorio /empresas/2004, usuario propietario julio y
grupo propietario directores.
(a) chown directores.julio 2004
(b) chown directores.julio /empresas/2004
(c) chgrp julio.directores 2004
(d) chown julio.directores /empresas/2004
3. Permitir que todos los usuarios puedan crear, borrar, modificar los archivos y directorios del
directorio /pase.
(a) chmod 007 /pase
(b) chmod 004 /pase
(c) chmod 002 /pase
(d) chmod 001 /pase
4. Permitir que nicamente los propietarios de los archivos del directorio /pase puedan borrar sus
archivos.
(a) chmod t+o /pase
(b) chmod o+t /pase
(c) chmod o+s /pase
(d) chmod u+t /pase
INICTEL
26
Mdulo 2
2.7.2. Laboratorio
Duracin:
30 minutos
Objetivos:
Uso de comandos para cambiar los permisos de acceso a los archivos y directorios.
Recursos a utilizar:
Procedimiento de ejecucin:
1. Usando el comando chmod, con el mtodo nivel de control de acceso (UGO):
a. Otorgar el permiso ejecucin al usuario propietario del archivo doc1.txt
c.
Remover el permiso de escritura a todos los usuarios, entonces otorgar al usuario y grupo
propietario los permisos de lectura y escritura del archivo doc3.txt
INICTEL
27
Mdulo 2
b. Otorgar todos los permisos al usuario propietario, al grupo propietario lectura y ejecucin
y a los otros usuarios nicamente otorgarle el permiso de ejecucin del archivo doc6.txt
c.
Denegar todos los permisos al usuario propietario y a los otros usuarios, otorgar al grupo
propietario todos los permisos y que todos los archivos creados en el directorio dir1 sean
de propiedad del grupo propietario del directorio dir1.
INICTEL
28
Mdulo 2
2.8.
Glosario de trminos
Buffer
INICTEL
29
Mdulo 2
2.9.
www.tldp.org
es.tldp.org
www.ibiblio.org
linuxgazette.net
www.gacetadelinux.com
www.linuxfocus.org
www.plazalinux.org
www.yolinux.org
INICTEL
30
Mdulo 2