Los sistemas de archivos pueden incluir sistemas de archivos de redes, CD-ROMS, disquetes y otros tipos de media. El archivo /etc/sysconfig/autofs puede contener lo subsiguiente: LOCALOPTIONS=»», donde es una cautiverio de caracteres que especifica reglas de montaje. El valencia por defecto es una condena de caracteres vacía («»). DAEMONOPTIONS=»», UNDERSCORETODOT=, DISABLE_DIRECT=, donde es la duración del tiempo de prórroga en segundos antaño de desmontar el dispositivo. El valor por defecto es 60 segundos («–timeout=60″). donde es un valía binario que controla si se deben convertir los guiones bajos en los nombres de archivos en puntos. Por ejemplo, auto_home a coche.home y auto_mnt a automóvil.mnt. El valía por defecto es 1 (seguro). donde es un valía binario que controla si se desactiva o no el soporte para el montaje directo, ya que la implementación de Linux no sigue el comportamiento de automontaje de Sun Microsystems. El valencia por defecto es 1 (seguro), que permite la compatibilidad con la sintaxis de especificación de opciones de automontaje de 225

Nota Si tiene instalado el paquete bind-chroot, el servicio BIND será ejecutado en el entorno /var/named/chroot. Todos los archivos serán desplazados allí. Triunfadorí, named.conf será sito en /var/named/chroot/etc/named.conf. Administrar la tecnologa de la informacin ExtraEnterprise Module Note Instructores Consejo Si ha instalado el paquete caching-nameserver, el archivo de configuración predeterminado es /etc/named.caching-nameserver.conf. Para sobreescribir esta configuración, usted puede crear su propio archivo de configuración en / etc/named.conf. Una vez reiniciado, BIND usará el archivo personalizado / etc/named.conf en ocasión del archivo de configuración predeterminado. Las próximas secciones revisan los archivos de configuración de BIND en más detalle. 2. /etc/named.conf El archivo named.conf es una colección de declaraciones que utilizan opciones anidadas rodeadas por corchetes, . Los administradores deben tener mucho cuidado cuando estén modificando named.conf para evitar errores sintácticos, puesto que hasta el error más pequeño puede impedir que el servicio named arranque. 52

No modifique este archivo manualmente a menos que esté familiarizado con la construcción de reglas ip6tables. Se pueden crear reglas manualmente incluso usando el comando / sbin/ip6tables. Una tiempo creado, anualidad las reglas al archivo /etc/sysconfig/ip6tables escribiendo el comando subsiguiente: /sbin/service ip6tables save Una momento que este archivo existe, cualquier regla de firewall guardadas en él, persisten a través de los reinicios del sistema o de un servicio /etc/sysconfig/iptables-config El archivo /etc/sysconfig/iptables-config Observancia información usada por el kernel para configurar los servicios de filtrado de paquetes en el momento de arranque o cuando se inicio un servicio. No modifique este archivo manualmente a menos que esté familiarizado con la forma de construir reglas iptables. La forma más dócil de anexar reglas es usando la utensilio de configuración del nivel de seguridad (system-config-selinux) para crear un cortafuegos. Esta aplicación automáticamente edita este archivo al final del proceso. 229

409 6.6. Configuración IPsec de host-a-host nexión IPsec contiene las siguientes declaraciones utilizadas por la implementación Nasa Hat Enterprise Linux de IPsec: remote X.X.X.X Especifica que las estrofas subsecuentes de este archivo de configuración sólo se aplican al nodo remoto identificado por la dirección IP X.X.X.X exchange_mode aggressive La configuración predeterminada para IPsec en Red Hat Enterprise Linux utiliza un método de autenticación agresivo, que reduce la sobrecarga de la conexión a la momento que permite la configuración de muchas conexiones IPsec con múltiples hosts. my_identifier address Define el método de autenticación a utilizar cuando se autentifican nodos. Garlito Hat Enterprise Linux utiliza direcciones IP para identificar a los nodos. encryption_algorithm 3des Define el cifrado de encriptación utilizado durante la autenticación. Por defecto, se utiliza Triple Data Encryption Standard (3DES). hash_algorithm sha1; Especifica el algoritmo hash utilizado durante la negociación de la escalón 1 entre nodos. Por defecto, se utiliza el Secure Hash Algorithm traducción 1. authentication_method pre_shared_key Define el método de autenticación utilizado durante la negociación de nodos.

246 1.19. /etc/sysconfig/kudzu o pc significa que hay un teclado PS/2 conectado al puerto PS/2. KEYTABLE=»», donde es el nombre de un archivo de tabla de teclas. Por ejemplo: KEYTABLE=»us». Los archivos que pueden ser usados como tabla de teclas comienzan en /lib/kbd/keymaps/i386 y se extienden en diferentes disposiciones de teclados desde aquí, a todos los etiquetados .kmap.gz. El primer archivo incompatible debajo /lib/kbd/keymaps/i386 que coincide con la configuración KEYTABLE es usado /etc/sysconfig/kudzu El archivo /etc/sysconfig/kuzdu dispara una exploración segura del hardware del sistema mediante kudzu en el momento de comienzo. time. Una exploración segura es una que desactiva el tienta del puerto serial. SAFE=, yes no donde es uno de los siguientes: kuzdu hace una exploración segura. kuzdu realiza una exploración habitual /etc/sysconfig/named El archivo /etc/sysconfig/named es usado para sobrevenir argumentos al demonio named en el momento de comienzo. El demonio named es un servidor Domain Name System (DNS) que implementa la distribución Berkeley Internet Name Domain (BIND) interpretación 9. Este servidor mantiene una tabla de cuales hosts están asociados con direcciones IP en la red.

362 2.6. Protección de FTP El Protocolo de transferencia de archivos (FTP), es un protocolo TCP antiguo diseñado para transferir archivos sobre la Garlito. Debido a que todas las transacciones con el servidor no son encriptadas, incluyendo la autenticación de usuarios, se considera un protocolo inseguro y debería ser configurado cuidadosamente. Red Hat Enterprise Linux proporciona tres servidores FTP. gssftpd Un demonio FTP kerberizado basado en xinetd que no pasa información de autenticación sobre la red. Red Hat Content Accelerator (tux) Un servidor Web con espacio kernel que posee capacidades de FTP. vsftpd Una implementación de servicio Administrar la tecnologa de la informacin ExtraEnterprise Module Note Instructores FTP independiente y orientado a la seguridad. Las siguientes pautas de seguridad son para la configuración del servicio FTP vsftpd Pancarta de saludo de FTP ayer de suministrar un nombre de becario y contraseña, a todos los usuarios se les presenta una pancarta de saludo. Por defecto, esta pancarta incluye información relacionada con la interpretación, lo que es útil para los maleantes informáticos que estén intentando averiguar las debilidades del doctrina.

Un comando para corroborar el archivo /etc/group. Comando que se utiliza para corroborar los archivos /etc/passwd y / etc/shadow. man pwconv Una útil para la conversión de contraseñas en serie a contraseñGanador shadow. man pwunconv man useradd Un comando para añadir usuarios. man userdel Un comando para eliminar usuarios. man usermod Comando para modificar usuarios. Una herramienta para la conversión de contraseñVencedor shadow a contraseñCampeón estándar. Archivos de configuración man 5 group El archivo que contiene información del Agrupación para el doctrina. man 5 passwd man 5 shadow El archivo que contiene información del adjudicatario para el doctrina. El archivo que contiene información de contraseñFigura y vigencia de cuentas para el doctrina. 282

??. Para iniciar Conmutador de Agente de Transporte de Correo seleccione doctrina (el menú principal en el panel) => Sucursal => Conmutador de Agente de Transporte de Correo o escriba el comando system-switch-mail en el intérprete de comandos de shell (por ejemplo, en una Administrar la tecnologa de la informacin ExtraEnterprise Module Note Instructores terminal XTerm o GNOME). El software detecta automáticamente si el sistemas de ventanas X se está ejecutando. Si si lo está haciendo, el programa inicia en modo Esquema como se muestra en Figura 9.1, Conmutador de Agente de Transporte de Correo. Si X no es detectado, inicia en modo de texto. Para forzar al Conmutador del Agente de Transporte de Correo a que ejecute en modo de texto utilice el comando system-switch-mail-nox. 186

324 3. Ataques y agresiones comunes Agresiones Vulnerabilidades de las aplicaciones Descripción Notas temas en la Garlito. becario sin privilegios, como «nobody», es posible adivinar información incluida en archivos de configuración y mapas de Garlito. El atacante puede también iniciar un ataque de negación de servicio que consume los medios del sistema o convierte estos bienes como inalcanzables para otros usuarios. En algunas ocasiones, los servicios pueden personarse vulnerabilidades que pasan inadvertidas durante los periodos de desarrollo y prueba; estas vulnerabilidades (como el buffer overflows, en donde los atacantes congelan el servicio utilizando Títulos arbitrarios que llenan el buffer de memoria de una aplicación, dando al atacante un entrada de comandos interactiva desde la cual pueden ejecutar comandos arbitrarios) pueden adivinar control administrativo completo a un atacante. Los administradores deben asegurarse de no ejecutar los servicios como usuarios root.

315 1.3. Evaluación de herramientas establecer una metodología de evaluación de vulnerabilidad. Desafortunadamente, no existe actualmente una metodología predefinida o aprobada por la industria; sin bloqueo, el sentido popular y los buenos hábitos pueden desempeñarse como una guía completa. Cuál es el objetivo? Se proxenetismo de sólo un servidor, o de la Nasa completa y todo lo que esta En el interior de ella? Somos internos o externos a la compañía? Las respuestas a estas preguntas son importantes pues le ayudaran a determinar no solamente cuáles herramientas distinguir sino todavía la forma en que serán usadas. Para educarse un poco más sobre el establecimiento de metodologíCampeón, refiérase a los siguientes sitios web: The Open Source Security Testing Methodology Manual (OSSTMM) El tesina de seguridad de aplicaciones Web abiertas 1.3. Evaluación de herramientas Una evaluación típica puede comenzar usando alguna aparejo para reunir información. Cuando se esté evaluando la red completa, haga un dibujo de la red primero para identificar las máquinas que estan en ejecución. Una ocasión identificadas, examine cada máQuinina individualmente. Para enfocarse en esas máquinas se requiere de otro conjunto de herramientas. Conocer cuál útil utilizar puede ser el paso más importante al encontrar vulnerabilidades. Campeóní como en todos los aspectos de la vida, hay muchas herramientas diferentes que pueden hacer el mismo trabajo. Este concepto aún aplica al realizar evaluaciones de vulnerabilidad.

260 3. Archivos de configuración del servidor X Una ocasión haya iniciado una sesión en el nivel de ejecución 3, verá un intérprete de comandos en tiempo de un entorno Representación. Para iniciar un mandatario de ventanas, escriba xinit -e en el intérprete de comandos. es la ubicación del archivo binario de mandatario de ventanas. Se puede encontrar el archivo binario escribiendo which , donde es el nombre del delegado de ventanas que desea ejecutar. Por ejemplo: which twm/usr/bin/twm xinit -e /usr/bin/twm El primer comando retorna la ruta absoluta del gestor de ventanas twm, el segundo comando inicia twm. Para salir de un gerente de ventanas, cierra la última ventana o presione Ctrl-Alt-Backspace. Una momento haya aparecido del gerente de ventanas, puede regresar al nivel de ejecución 5 escribiendo startx en el intérprete de comandos. 3. Archivos de configuración del servidor X El servidor X es un binario ejecutable (/usr/bin/xorg). Los archivos de configuración asociados se almacenan en el directorio /etc/x11/ (es un enlace simbólico X que apunta a / usr/bin/xorg). El archivo de configuración para el servidor X es /etc/x11/xorg.conf. El directorio /usr/lib/xorg/modules/ contiene los módulos del servidor X que pueden ser cargados dinámicamente en tiempo de ejecución.

54 12. Guardar y recuperar la configuración de la Garlito Figura Ejemplo de apelativo del dispositivo de Nasa Seleccione el apelativo y pulse el botón Activar para activar el apelativo. Si ha configurado perfiles múltiples, seleccione qué perfiles incluir. Para corroborar que el apodo ha sido activado, utilice el comando /sbin/ifconfig. La salida debería mostrar el dispositivo y el seudónimo de dispositivo con direcciones Administrar la tecnologa de la informacin ExtraEnterprise Module Note Instructores IP diferentes: eth0 Link encap:ethernet HWaddr 00:A0:CC:60:B7:G4 inet addr: Bcast: Mask: almacenar y recuperar la configuración de la red La traducción de camino de comandos de la aparejo de Delegación de Garlito puede ser utilizada para acatar la configuración de la Nasa del sistema a un archivo.

Especifica si se permite que un rata de dos ordenanza se comporte como uno de tres cuando se presionan entreambos chico simultáneamente. Consulte la página man de xorg.conf para una relación de las opciones válidas para esta sección maestro Cada sección Monitor configura un tipo de celador utilizado por el sistema. Esta también es una entrada opcional, luego que la decanoía de monitores son detectados automáticamente. La forma más sencilla de configurar un profesor es durante el proceso de instalación o usando la &RHXFREE86TOOL;. Para obtener mayor información sobre el uso de la &RHXFREE86TOOL;, consulte el Capítulo 16, Configuración del doctrina X Window. Este ejemplo muestra una sección de maestro típica: Section «educador» Identifier «Monitor0» VendorName «instructor Vendor» ModelName «DDC Probed celador – ViewSon Aviso Tenga cuidado si está modificando manualmente los valores en la sección profesor de /etc/x11/xorg.conf. Títulos inapropiados pueden dañar o destruir su instructor. Consulte la documentación de su monitor para un lista de similarámetros seguros. 249

351 1.5. Servicios de Garlito disponibles bre la Nasa sin encriptar. Cuando se estén usando estos protocolos es responsabilidad del favorecido localizar el tipo de datos que se transmite. Los servicios de volcado de memoria remota, como netdump, pasan los contenidos de la memoria sobre la red sin encriptar. Los volcados de memoria pueden contener contraseñFigura o, peor aún, entradas de la almohadilla de datos u otra información confidencial. Otros servicios como finger y rwhod revelan información sobre los usuarios del doctrina. Ejemplos de servicios inherentemente inseguros incluyen: rlogin rsh telnet vsftpd Todos los programas de conexión y de shell remotos (rlogin, rsh y telnet), deberían ser evitados en favor de SSH.