Embed Size (px)
DESCRIPTION
tarea
Citation preview
Ingeniería Informática
Materia: Administración de Servidores
Tema:
Formas de asignar derecho de acceso a un archivo dependiendo del usuario
Docente:
I.S.C. Lizbeth Hernández Olán
Alumna: Álvarez Díaz Roxana
Grupo: 7“B”
pág. 1
Formas de asignar derecho de acceso a un archivo, dependiendo del tipo de
usuario.
Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de usuario hace posible:
Autentificar la identidad de la persona que se conecta a la red.
Controlar el acceso a los recursos del dominio.
Auditar las acciones realizadas utilizando la cuenta.
Lenguaje utilizado en los permisos
Primero es necesario familiarizarse con el lenguaje que aparece en estas
fichas.
Nombres de grupo o usuarios son los términos con los que se identifica la
entidad de a quien se le asignan los permisos, se muestran solo algunos
dependiendo del contenido, ubicación o el tipo de archivo, los cinco primeros
de la lista son los más comunes, los dos siguientes se emplean en carpetas de
programas instalados y del sistema y los cuatro últimos en carpetas
compartidas.
SYSTEM (Windows)
TuNombre
HomeUsers (Usuarios)
Administradores
Usuarios
CREATOR OWNER (Propietario o suministrador del archivo)
TrustedInstaller (Windows, archivos de sistema)
Todos
BATCH
INTERACTIVE
SERVICIO
pág. 2
Como denegar y otorgar permisos a usuarios
Para conocer, cambiar, asignar o quitar permisos de archivos y carpetas haz
lo siguiente:
1- Clic derecho en el archivo o carpeta.
2- Clic en Propiedades y después, en la pestaña Seguridad.
3- Clic en el botón Editar para abrir la ventana Permisos.
4- Si en el cuadro Nombres de grupos o usuarios no aparece la entidad
necesaria agrégala.
Selecciona el usuario o grupo y activa la casilla Permitir o Denegar en el
permiso correspondiente.
Los permisos que se pueden denegar y otorgar son los siguientes:
• Control total
• Modificar
• Lectura y ejecución
• Mostrar el contenido de la carpeta
• Lectura
• Escritura
pág. 3
Denegar y otorgar permisos especiales a usuarios
Existen otra serie de permisos para usos específicos, son los llamados
permisos especiales.
Para definir, ver, cambiar o quitar permisos especiales haz lo siguiente:
1- Después de abrir Propiedades y la pestaña Seguridad, da un clic en el
botón Opciones avanzadas y luego en Cambiar permisos.
2- En la ventana Permisos da un clic en el nombre del grupo o el usuario y a
continuación escogeEditar.
Si activas la casilla "Reemplazar todos los permisos de objetos secundarios
por permisos heredables de este objeto", se aplicara la acción a todas las
subcarpetas y archivos.
Los permisos especiales pueden ser los siguientes:
• Control total
• Atravesar carpeta/Ejecutar archivo
• Mostrar carpeta/Leer datos
• Leer atributos
• Leer atributos extendidos
• Crear archivos/Escribir datos
• Crear carpetas/Anexar datos
• Escribir atributos
• Escribir atributos extendidos
• Eliminar subcarpetas y archivos
• Eliminar
• Permisos de lectura
• Cambiar permisos
• Tomar posesión
pág. 4
Linux
Es un sistema multiusuario, por lo que necesita de una política de permisos segura y planificada para mantener el sistema seguro.
Un administrador de sistemas Linux debe prestar mucha atención y planificar dicha política de permisos para mantener su sistema seguro.
Podemos hacernos una primera idea de cómo se gestionan los permisos en Linux, haciendo un ‘ls -l’ desde nuestro intérprete de comandos:
[albertux@debian]$ ls -l total 284 drwxr-xr-x 5 alberto 4096 2007-11-26 17:38 2006r3 drwxr-xr-x 5 root 4096 2007-09-17 15:48 AlberTUX_LIVE drwxr-xr-x 3 alberto 4096 2007-04-02 11:38 Beryl drwxr-xr-x 2 alberto 4096 2007-12-14 15:05 bin -rw-r–r– 1 alberto 16548 2008-04-03 15:07 CELIA-DSL.odt drwxr-xr-x 1 alberto 4096 2008-03-27 14:03 COMOs drwx—— 3 alberto 4096 2008-04-07 15:02 curso-ASL -rw-r–r– 1 alberto 9490 2008-04-07 13:44 Curso-ASOL.odt
Como vemos, cada línea tiene un formato del estilo:
{T} {rwx} {rwx} {rwx} {N} {usuario} {grupo} {tamaño} {fecha de creación}{nombre}
1er campo T: Nos indica que tipo de archivo es:
– Si es un fichero normal
d Si es un directorio
c Especial de modo carácter (Dispositivo tty, impresora…)
pág. 5
Permisos de archivo UNIX
En la siguiente tabla, se muestran y se describen los permisos que puede otorgar a cada clase de usuario para un archivo o directorio.
Tabla 6-2 Permisos de archivos y directorios
Símbolo Permiso Objeto Descripción
r Lectura Archivo Los usuarios designados pueden abrir y leer el
contenido de un archivo.
Directorio Los usuarios designados pueden enumerar
archivos en el directorio.
w Escritura Archivo Los usuarios designados pueden modificar el
contenido del archivo o eliminar el archivo.
Directorio Los usuarios designados pueden agregar archivos
o enlaces en el directorio. También pueden eliminar
archivos o enlaces en el directorio.
x Ejecución Archivo Los usuarios designados pueden ejecutar el
archivo si es un programa o una secuencia de
comandos de shell. También pueden ejecutar el
programa con una de las llamadas del
sistema exec(2).
Directorio Los usuarios designados pueden abrir o ejecutar
archivos en el directorio. También pueden hacer
que el directorio y los directorios debajo de él sean
los actuales.
- Denegado Archivo y
directorio
Los usuarios designados no pueden leer, escribir ni
ejecutar el archivo.
Estos permisos de archivo se aplican a archivos regulares y a archivos especiales, como dispositivos, sockets y conducciones con nombre (FIFO).
Para un enlace simbólico, los permisos que se aplican son los permisos del archivo al que el enlace hace referencia.
Puede proteger los archivos de un directorio y sus subdirectorios estableciendo permisos de archivo restrictivos en ese directorio. Tenga en cuenta que, sin embargo, el superusuario tiene acceso a todos los archivos y directorios en el sistema.
pág. 6
Permisos de archivo especiales (setuid, setgid y bit de permanencia)
Tres tipos de permisos especiales están disponibles para archivos ejecutables y directorios públicos: setuid, setgid y bit de permanencia. Cuando estos permisos se establecen, cualquier usuario que ejecuta ese archivo ejecutable asume el ID del propietario (o grupo) del archivo ejecutable.
Debe ser extremadamente cuidadoso cuando define permisos especiales, porque los permisos especiales constituyen un riesgo de seguridad. Por ejemplo, un usuario puede obtener capacidades de super usuario mediante la ejecución de un programa que establece el ID de usuario (UID) en 0, que es el UID de root. Además, todos los usuarios pueden establecer permisos especiales para archivos que poseen, lo cual constituye otro problema de seguridad.
Debe supervisar el sistema para detectar cualquier uso no autorizado de los permisos setuid y setgid con intención de obtener capacidades de super usuario. Un permiso sospechoso concede la propiedad de un programa administrativo a un usuario en lugar de a root o bin. Para buscar y mostrar todos los archivos que utilizan este permiso especial, consulte Cómo buscar archivos con permisos de archivo especiales.
Permiso setuid
Cuando el permiso setuid se establece en un archivo ejecutable, se otorga acceso a un proceso que ejecuta este archivo según el propietario del archivo. El acceso no se basa en el usuario que está ejecutando el archivo ejecutable. Este permiso especial permite a un usuario acceder a los archivos y directorios que, normalmente, están disponibles sólo para el propietario.
Por ejemplo, el permiso setuid del comando passwd hace posible que los usuarios cambien contraseñas. Un comando passwd con permiso setuid sería de la siguiente manera:
-r-sr-sr-x 3 root sys 28144 Jun 17 12:02 /usr/bin/passwd
Este permiso especial presenta un riesgo de seguridad. Algunos usuarios determinados pueden buscar una manera de mantener los permisos que se les otorgan mediante el procesosetuid, incluso después de que el proceso ha terminado de ejecutarse.
Nota - El uso de permisos setuid con los UID reservados (de 0 a 100) de un programa podría no establecer el UID efectivo correctamente. Utilice una secuencia de comandos de shell o evite el uso de los UID reservados con permisos setuid.
pág. 7
Permiso setgid
El permiso setgid es similar al permiso setuid. Se cambia el ID de grupo (GID) efectivo del proceso al grupo que posee el archivo y se le concede acceso a un usuario según los permisos que se otorgan a ese grupo. El comando /usr/bin/mail tiene permisos setgid:
-r-x--s--x 1 root mail 67504 Jun 17 12:01 /usr/bin/mail
Cuando el permiso setgid se aplica a un directorio, los archivos que se crearon en ese directorio pertenecen al grupo al que pertenece el directorio. Los archivos no pertenecen al grupo al que pertenece el proceso de creación. Cualquier usuario que tiene permisos de escritura y ejecución en el directorio puede crear un archivo allí. Sin embargo, el archivo pertenece al grupo que posee el directorio, no al grupo al que pertenece el usuario.
Debe supervisar el sistema para detectar cualquier uso no autorizado del permiso setgid con intención de obtener capacidades de superusuario. Un permiso sospechoso otorga acceso de grupo a tal programa a un grupo poco común en lugar de a root o bin. Para buscar y mostrar todos los archivos que utilizan este permiso, consulte Cómo buscar archivos con permisos de archivo especiales.
