Uso de fs-verity en kernel 5.7

Publicado en Hardening y Seguridad

A partir de la versión 5.5 del kernel de linux se incluye la opción de verificación de integridad y protección de autenticidad transparente para ficheros de solo lectura. Como tengo la versión 5.4 instalada lo primero que vamos a hacer es instalar la última versión estable del kernel, en el momento que escribo esto es la 5.7.

Leer más ...

Capabilities - Compartimentar al todopoderoso root

Publicado en Hardening y Seguridad

El esquema tradicional de los entornos Linux/UNIX dividen los procesos en dos categorías, los que tienen el usuario ID 0 (root, o superusuario) y tiene todos los privilegios de acceso y ejecución, y el resto, sujetos al chequeo de privilegios y con la incapacidad de realizar ciertas tareas. La función de capabilities en GNU/Linux es dividir los privilegios disponibles para los procesos que se ejecutan como usuario root en grupos más pequeños de privilegios.

Leer más ...

I-node flags, ACL y atributos extendidos en GNU/Linux

Publicado en Hardening y Seguridad

Vimos en una entrada anterior la forma clásica en la que GNU/Linux trabaja con los permisos de los ficheros. Vamos a ver ahora las extensiones que se han añadido con el fin de complementar el sistema básico de permisos. Lo primero que vamos a ver son los I-node Flags. Estos son un grupo de flags que se pueden seleccionar en los ficheros para que tengan una consideración especial, por ejemplo el flag a hace que el fichero sea solo para añadir, o el flag i hace el fichero inmutable e indeleble. 

Leer más ...

Sistema clásico de permisos en GNU/Linux

Publicado en Hardening y Seguridad

La seguridad en el sistema de ficheros es fundamental en un sistema operativo multiusuario. En el sistema de permisos clásico de GNU/Linux cada fichero tiene un grupo de 9 permisos (bits) que controlan quien tienen acceso de lectura, escritura o ejecución de un fichero, más tres bits adicionales especiales conocidos como set-user-ID, ser-group-ID y sticky bit. Este grupo de 12 bits se implementa en el conjunto de propiedades del fichero y forman lo que se conoce como modo de acceso. Se almacenan separadamente por cada fichero junto otros 4 bit con la información del tipo de fichero formando parte del i-node del fichero.

Leer más ...

Protección de ejecutables: FORTIFY_SOURCE

Publicado en Hardening y Seguridad

La macro FORTIFY_SOURCE es una característica de GCC y GLIBC que intenta detectar algunas clases de buffer overflows. Aunque esta activada por defecto si compilamos con GCC, esta característica esta estrechamente relaciona con otros parámetros, principalmente el optimizador, que hará variar su funcionamiento.

Leer más ...

Usar libsecret para manejar claves en Gnome Keyring

Publicado en Creando Código

Vamos a ver como funciona GNOME Keyring y como acceder a los datos que almacena usando la librería libsecret.

Muchas aplicaciones requieren un password de acceso como medida de control para acceder a algún recurso. Con el fin de evitar que la aplicación nos solicite el usuario y contraseña cada vez que accedemos al recurso protegido se utiliza GNOME Keyring. GNOME Keyring es una colección de componentes en GNOME que almacena secretos, contraseñas, claves, certificados y los pone a disposición de las aplicaciones. Las aplicaciones que usan GNOME Keyring pueden almacenar estos secretos y usarlos cuando los necesitan. Al estar integrado con el inicio de sesión del usuario, el almacenamiento secreto se puede desbloquear cuando el usuario inicia sesión en el sistema.

Leer más ...

Crear claves GnuPG y uso de clave maestra offline

Publicado en Hardening y Seguridad

En una entrada anterior ponía una infografía de la Free Software Fundation y el enlace a emailselfdefense.fsf.org donde nos indicaba la necesidad de proteger los correos electrónicos de miradas indiscretas y la forma de hacerlo. Para la gente que no esta muy familiarizada con el uso de certificados es uno de los mejores sitios donde empezar. Voy a detallar aquí como se crean las claves desde la línea de mandatos y como utilzar subkeys con el fin de tener una clave maestra offline y no tener que llevarla siempre instala, por ejemplo en el portátil.

Leer más ...

Aislar procesos en sandboxing con Firejail

Publicado en Hardening y Seguridad

Las técnicas de sandboxing (caja de arena) se utilizan para aislar determinados procesos con el fin de que tengan una visión parcial y limitada de los recursos disponibles del sistema. El objetivo es limitar la posibilidad de acceder a recursos, principalmente en el caso de fallo o que el proceso se vea comprometido y explotado por algún malware o atacante, limitando entonces el alcance que pueden hacer dentro del sistema.

Leer más ...
Suscribirse a este canal RSS