Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1019
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
diciembre
(Total:
103
)
- Tecnología de Intel permite actualizar la BIOS de ...
- La Universidad de Kioto en Japón pierde 77TB de da...
- Redline Stealer es un malware que roba las contras...
- ¿Qué es un dropper? (Malware)
- Fundador de Signal asegura que Telegram es incluso...
- Diferencias entre el cifrado BitLocker y EFS en Wi...
- Mejores programas para reparar, recuperar y ver in...
- TWRP Recovery para teléfonos Android
- Herramientas para realizar ataques Man‑in‑the‑Midd...
- Vulnerabilidad en Azure App Service expone reposit...
- Las 20 mejores herramientas de Hacking de 2021
- Procesadores Intel 12th Alder Lake para el chipset...
- Alertan de una importante Campaña Phishing vía SMS...
- Extensiones Visual Studio Code para programar en ...
- ¿Qué es una APU (CPU + GPU) y un SoC?
- Crean un algoritmo capaz de adivinar el 41% de las...
- DuckDuckGo, la alternativa al buscador Google basa...
- Instalar MacOS Big Sur en una máquina Virtual con ...
- Editores de imágenes de vídeo gratuitos y de códig...
- Desinstalar todas las aplicaciones no deseadas que...
- Reparar tarjeta memoria SD dañada o estropeada
- Instalar aplicaciones Android en Windows 11: WSATo...
- Hackean servidores HP con CPUs AMD EPYC para minar...
- Logrotate: administra los registros (logs) de tu s...
- Las mejores shells para GNU/Linux
- Glosario términos en Linux: vocabulario básico
- Windows 10 versión 21H2 añade protecciones mejorad...
- Instalar varios sistemas operativos autoarrancable...
- Vulnerabilidad test de antígenos permite falsifica...
- Actualización de seguridad importante servidor web...
- Graves vulnerabilidades plugin SEO instalado en má...
- Vulnerabilidades Directorio Activo permiten hackea...
- Ministerio de Defensa de Bélgica es el primer país...
- La memoria DDR5 es apenas un 3% más rápida que la ...
- Actualizaciones de Windows 11 solucionan problemas...
- Disponible distro Hacking WiFi Wifislax de origen ...
- DuckDuckGo prepara navegador web que protegerá la ...
- Amazon patenta una red de cámaras que reconcen a p...
- Los mitos más comunes en ciberseguridad
- Hospital de Asturias (España) afectado por un ataq...
- Cable USB llamado BusKill permite borrar automátic...
- El hackeo con Pegasus para iPhone es uno de los at...
- Resumen de todas las vulnerabilidades de Log4j
- Instalación LineageOS en teléfonos Android
- Gestores de Contraseñas para Android
- Guía SysAdmin para SELinux
- Los mejores gestores de contraseñas gratuitos
- Configurar servidor DLNA para reproducir música y ...
- Instalar Kali Linux en tu teléfono móvil con NetHu...
- pfetch, screenfetch o neofetch : mostrar informaci...
- La estafa del supuesto familiar con la ‘maleta ret...
- Microsoft y Dell prepararan portátiles más reparables
- Contenedores en Firefox para mejorar privacidad al...
- Windows Terminal será la línea de comandos por def...
- Identificada una segunda vulnerabilidad en Log4j q...
- Protocolo WebDav permite conectar unidad de red re...
- Apple publica Tracker Detect para evitar que los u...
- Volvo Cars informa una brecha de seguridad
- Consejos de Seguridad para servidores Linux
- Vulnerabilidad en millones chips de WiFi y Bluetoo...
- Ataque de ransomware Lapsus al Ministerio de Salud...
- Configurar una VPN con Wireguard
- Distribuciones Linux para portátiles antiguos con ...
- Juegos retro para teléfonos móviles Androd e iPhone
- Solucionada vulnerabilidad de seguridad de Western...
- Ladrones de coches están utilizando AirTags de App...
- Cómo activar la autenticación en dos pasos en Goog...
- Detenida en España por estafar al Athletic de Bilb...
- ALPHV BlackCat es el ransomware más sofisticado de...
- Google permitirá ejecutar juegos de Android en Win...
- Google y Microsoft trabajan juntos para mejorar el...
- Vulnerabilidad crítica en Apache Log4j bautizada c...
- Nueva oferta de Microsoft 365 para los usuarios pi...
- Nueva versión de Kali Linux 2021.4 que mejora el s...
- Evitar que tus mails rastreen tus datos personales...
- Cómo configurar la privacidad y seguridad en Signal
- Google demanda a 2 rusos responsables de la botnet...
- Bots se hacen pasar por personal de Twitter para r...
- Importante vulnerabilidad en Grafana: actualizació...
- Descubiertos instaladores KMSPico para activar Win...
- Eltima SDK contiene hasta 27 múltiples vulnerabili...
- Mozilla publica Firefox 95 con mejoras destacadas ...
- Cómo migrar CentOS 8 a Rocky Linux 8, AlmaLinux 8 ...
- Freesync y G-Sync: tecnologías para monitores gami...
- Ansible permite automatizar tareas en distintos se...
- Syncthing es una herramienta gratuita multiplatafo...
- Curiosidades sobre el nuevo CEO de Twitter: 11.000...
- Filtros en Linux: pipes, tuberías: cut, sort, uniq...
- El auge del negocio de los ciberataques de denegac...
- ¿Qué son los (IoC) Indicadores de Compromiso?
- Teléfonos iPhone de empleados del Departamento de ...
- Mejores sistemas de rescate para recuperar fichero...
- Ciberataque denegación de servicio distribuido DDo...
- Hasta 9 routers de marcas muy conocidas acumulan u...
- Plantillas y archivos RTF de phishing contienen ma...
- Nvidia reedita la RTX 2060, ahora con 12 GB de RAM...
- Nueva versión IPFire mejora el rendimiento IPS e i...
- El perro robótico de Xiaomi usa Ubuntu de sistema ...
- WiFi 7 tendrá doble de velocidad (hasta 46 Gbps) y...
- Vulnerabilidad en impresoras HP tras 8 años afecta...
- ► septiembre (Total: 56 )
-
▼
diciembre
(Total:
103
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Guía SysAdmin para SELinux
Desde hace un tiempo los administradores de sistemas y también los usuarios domésticos nos hemos tenido que acostumbrar a trabajar con SELinux; seguro habrán oído de él, ese módulo de seguridad, medio desconocido y que por norma todos nos dicen que deshabilitamos recién hemos instalado el sistema operativo en turno.
¿Qué es SELinux?
Security-Enhanced Linux (SELinux)
Cómo hemos dicho se trata de un módulo de seguridad para el kernel Linux. En inglés “Security-Enhanced Linux”, Seguridad-Mejorada de Linux. Dicho módulo proporciona el mecanismo para utilizar políticas de seguridad en el control de acceso más allá de los permisos tradicionales de propiedad, incluyendo controles de acceso obligatorios, como los implementados por del departamento de defensa de Estados Unidos en sistemas de alta seguridad.
A nivel técnico se trata de un conjunto de modificaciones al núcleo del sistema operativo, que pueden ser agregadas a cualquiera de las distribuciones GNU/Linux. Su arquitectura se enfoca en separar las decisiones sobre los objetos del sistema, en función a su aplicación y ejecución para asegurar que el sistema funcione de la forma y bajo las condiciones que nosotros hemos configurado a través de las políticas aplicadas.
Alex Callejas, del equipo de Red Hat para América Latina, escribió un extenso y magnífico artículo, a modo de preguntas y respuestas, sobre este módulo, en el portal opensource.com, por lo que me he decidido a traducirlo con su apoyo y aquí les presentamos el resultado:
Seguridad. Endurecimiento. Conciliación. Política. Los cuatro jinetes del Apocalipsis de todo SysAdmin. Además de nuestras tareas diarias, monitoreo, respaldo, implementación, puesta a punto, actualización, etcétera, también estamos a cargo de asegurar nuestros sistemas. Incluso aquellos sistemas en los que el proveedor externo nos pide que desactivemos la seguridad mejorada. Parece más un trabajo para Ethan Hunt de Misión Imposible.
Ante este dilema, algunos administradores de sistemas deciden tomar la píldora azul porque creen que nunca conocerán la respuesta a la gran pregunta de la vida, el universo y todo lo demás. Y, como todos nosotros sabemos, esa respuesta es el número 42.
En el espíritu del libro “Guía del autoestopista galáctico” , estas son las 42 respuestas a las más grandes preguntas sobre la administración y el uso de SELinux en sus sistemas.
SELINUX es un sistema de ETIQUETADO, lo que significa que cada
proceso tiene una ETIQUETA. Cada archivo, directorio y objeto del
sistema tiene una ETIQUETA. Las reglas de la política en turno controlan
el acceso entre los procesos etiquetados y los objetos etiquetados. El
kernel hace valer estas reglas.
Los dos conceptos más importantes son: etiquetado (archivos, procesos, puertos, etc.) y tipo de ejecución (que aísla los procesos en función de su tipo
El formato de etiqueta correcto es:
usuario:rol:tipo:nivel [y/ó categoría] (← ambos opcionalmente)
El objetivo del tipo de ejecución de seguridad de multi-categorías (MCS) es proteger procesos similares entre sí (como máquinas virtuales, engranajes de OpenShift (pods), cajas de arena (sandboxes) de SELinux, contenedores, etcétera)
selinux=0 → el kernel no carga ninguna función de SELinux
enforcing=0 → arranque en modo permisivo
Si necesita volver a etiquetar todo el sistema:
- # touch /.autorelabel
- # reboot
- Si el etiquetado del sistema contiene una gran cantidad de errores, es posible que se deba arrancar en modo permisivo para que el etiquetado automático tenga éxito
# getenforce
Para habilitar o deshabilitar temporalmente SELinux:
# setenforce [ 1 | 0 ]
Herramienta para saber el estado de SELinux:
# sestatus
Archivo de configuración ubicado en :
/etc/selinux/config
¿Cómo funciona SELinux? Aquí hay un ejemplo de etiquetado para un servidor web Apache:
- tipo de objeto: objeto → etiqueta
- Binario: /usr/sbin/httpd → httpd_exec_t
- Directorio de configuración: /etc/httpd → httpd_config_t
- Directorio de ficheros de registro: /var/log/httpd → httpd_log_t
- Directorio de contenido: /var/www/html → httpd_sys_content_t
- Script de inicio: /usr/lib/systemd/system/httpd.service → httpd_unit_file_d
- Proceso: /usr/sbin/httpd -DFOREGOUND → httpd_t
- Puertos: 80/tcp, 443/tcp → httpd_t, httpd_port_t
Muchos comandos aceptan el argumento -Z para ver, crear y modificar el contexto de la etiqueta:
- ls -Z
- id -Z
- ps -Z
- netstat -Z
- cp -Z
- mkdir -Z
Existen cuatro causas principales en los errores con SELinux:
- Problemas de etiquetado
- Algo que SELinux necesita saber
- Un error en una política / aplicación de SELinux
- Su información puede estar comprometida
Problema de etiquetado: si sus archivos en “/srv/myweb” no están etiquetados correctamente, se puede denegar el acceso. Aquí hay algunas maneras de arreglar esto:
- # semanage fcontext -a -t httpd_sys_content_t ‘/srv/myweb(/.*)?’
- # semanage fcontext -a -e / srv / myweb / var / www
- # restorecon -vR / srv / myweb
- # chcon -t httpd_system_content_t /var/www/html/index.html
- # chcon –reference /var/www/html/ /var/www/html/index.html
- # restorecon -vR /var/www/html/
- # semanage port -a -t http_port_t -p tcp 8585
- # setsebool -P httpd_can_sendmail 1
Si SELinux necesita saber, los booleanos se pueden administrar, mediante los comandos: Para ver todos los booleanos:
# getsebool -a
Para ver la descripción de cada uno: # semanage boolean -l
Para establecer un booleano, ejecuta:
- # setsebool [_boolean_] [1|0]
- # setsebool httpd_enable_ftp_server 1 -P
- Rutas de código inusuales
- Configuraciones
- Redirecciones de stdout
- Descripciones de archivos filtrados
- Memoria ejecutable
- Bibliotecas mal construidas
- Cargar módulos del kernel
- Desactiva el modo de aplicación de SELinux
- Escribir hacia etc_t / shadow_t
- Modificar las reglas de iptables (cortafuegos/firewall)
Análisis de problemas: Instale los paquetes de herramientas de SELinux:
- # yum -y install setroubleshoot setroubleshoot-server
- Reinicie o recargue el servicio auditoría (audit) después de la instalación
- # journalctl -t setroubleshoot –since=14:20
- # journalctl SELINUX_CONTEXT=system_u:system_r:policykit_t:s0
- Jun 14 19:41:07 web1 setroubleshoot: SELinux is preventing httpd from getattr access on the file /var/www/html/index.html. For complete message run: sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e# sealert -l 12fd8b04-0119-4077-a710-2d0e0ee5755e
- SELinux is preventing httpd from getattr access on the file /var/www/html/index.html.***** Plugin restorecon (99.5 confidence) suggests ************************If you want to fix the label,
- /var/www/html/index.html default label should be httpd_syscontent_t.
- Then you can restorecon.
- Do
- # /sbin/restorecon -v /var/www/html/index.html
Análisis de Logs
- /var/log/messages
- /var/log/audit/audit.log
- /var/lib/setroubleshoot/setroubleshoot_database.xml
Bitácora: buscar errores SELinux en el registro de auditoría:
- # ausearch -m AVC,USER_AVC,SELINUX_ERR -ts today -i
- # ausearch -m avc -c httpd -i
- # audit2allow -w -a
- # audit2allow -a
- # audit2allow -a -M mypolicy
Para instalar el módulo personalizado:
- # semodule -i mypolicy.pp
- # semanage permissive -a httpd_t
- # semanage permissive -d httpd_t
- # semodule -d permissivedomains
- SELINUX=permissive
- SELINUXTYPE=mls
- Asegúrese de que SELinux se esté ejecutando en modo permisivo:
- # setenforce 0
- Utilice el script “fixfiles” para asegurarse de que los archivos se vuelvan a etiquetar en el próximo reinicio:
- # fixfiles -F onboot
- # reboot
- # useradd -Z staff_u John
- Usando el comando “useradd”, se asigna al nuevo usuario un tipo de usuario de SELinux existente (en este caso, staff_u)
- # semanage login -l
- # semanage login –modify –range s2:c100 john
- # chcon -R -l s2:c100 /home/John
- # chcat -L
- /etc/selinux/__/setrans.conf
- # runcon -t initrc_t -r system_r -u user_u yourcommandhere
- -t es el contexto de la etiqueta del archivo
- -r es contexto de la etiqueta del rol
- -u es el contexto de la etiqueta del usuario
Contenedores que se ejecutan con SELinux deshabilitado:
# podman run –security-opt label=disable …
Con Docker:
# docker run –security-opt label=disable …
Si necesita dar un contenedor acceso completo al sistema:
# podman run –privileged …
Con Docker:
# docker run –privileged …
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.