Buenas,
Inicio con ésta las que espero sean muchas y variadas entradas sobre auditoría de sistemas UNIX. No las he cuantificado, pero barajo generar unas 30 aproximadamente, al menos con los puntos más relevantes para el análisis de estos sistemas, con lo que podríamos estar ante una especie de «mes de la auditoría UNIX», haciendo símiles con otros programas de seguridad como el mes de los fallos en navegadores, o el mes de los fallos en kernel. Bromas aparte, procuraré sean entradas cortas y lo más ejemplificadas posibles, con la finalidad de que cualquier usuario entienda los fundamentos de la seguridad de estos sistemas operativos.
Otro tema importante es que abordaremos el estudio desde el punto de vista del gestor de TI interno, es decir, analizaremos las labores de auditoría necesarias para calibrar la seguridad de un UNIX SIN tener en cuenta los accesos externos. En más de una ocasión me habéis leído comentar que los test de intrusión son eso, test de intrusión, y por tanto, quedan fuera de nuestro alcance.
Me encantaría, una vez terminada la publicación, generar un PDF recopilatorio, pero eso está por ver, ya que de tiempo no ando muy sobrado que digamos.
Nuestro primer capítulo trata sobre la Piedra Rosetta UNIX, un documento que considero imprescindible para poder auditar cualquier máquina corriendo este tipo de sistemas.
Y la considero imprescindible porque yo al menos, soy incapaz de memorizar todos los comandos de todos los UNIX y sus variantes. Como mucho, retengo los comandos más usuales, pero recordar todos es muy difícil.
En esta Piedra Rosetta, descargable en formato PDF, tenemos una correlación entre los comandos equivalentes entre sistemas, de modo que para una tarea determinada, podemos averiguar rápidamente cómo se ejecuta en un sistema determinado. Esto hace que no tengamos que tener en lo alto de la mesa 15 guías de militarización para cada sistema, y ejecutar 15 búsquedas para cada tarea. La Piedra las resume todas. Los sistemas incluídos en la piedra Rosetta UNIX son los siguientes:
AIX
DG/UX
FreeBSD
HP-UX
IRIX
Linux
Mac OS X
NCR Unix
NetBSD
OpenBSD
Reliant
SCO UnixWare
Solaris
SunOS 4
Tru64
Ultrix
UNICOS
Ejemplo de aplicación
Imaginemos que vamos a auditar el nivel de parche de una máquina (trataremos el nivel de parche en capítulos posteriores con más detalle). ¿Cómo se averigua el nivel de parche de la máquina en una máquina HP-UX y en una máquina Tru64?
Nos vamos a la Piedra Rosetta UNIX, y en la columna «TASK» localizamos show patch level and/or patches.
Para HP-UX tenemos que:
swlist -l product |
grep PHsomeString
Nota: Suele ser suficiente con invocar en la consola el comando swlist -l
Nota 2: PHSomeString hace referencia a que los niveles de parche en HP-UX empiezan siempre por PH (acrónimo de Patch HP-UX), existiendo habitualmente los parches PHKL (KerneL, parches de kernel), PHCO (COmmands, Comandos), PHNE (NEtwork, red) y PHSS (Sub Systems, subsistemas)
Para Tru64 tenemos que:
dupatch -track -type kit
dupatch -track -type patch
setld -i | grep patchname
sizer -vB
Como véis, la piedra Rosetta UNIX es fundamental para plantear auditorías en sistemas UNIX, ya que, pese a que hay muchas veces que los comandos son parecidos, otras son absolutamente dispares, y difíciles de recordar. El nivel de parche es sólo un ejemplo de esa disparidad.
Resumen
La Piedra Rosetta UNIX es un documento en el que se enumeran, en forma de tabla, los comandos a invocar para realizar tareas determinadas, ordenados según sistema operativo.
Hasta la próxima entrega ;)
Directo a la lista de enlaces imprescindibles, junto a dnsstuff.com y la lista de passwords por defecto.
Muy buen artículo.
Otra aportación increible. Gracias Sergio.
Imprescindible
Sergio, la verdad, muy grosso!!! impresionante lo que compartis…me saco el sombrero.
Saludos.
Diego.