Auditoría de sistemas UNIX. Parte 7. Autorizaciones cron

Uno de los denominadores comunes en los distintos entornos UNIX es la posibilidad de lanzar tareas automatizadas mediante cron.

Wikipedia: En el sistema operativo UNIX, cron es un administrador regular de procesos en segundo plano (demonio) que ejecuta programas a intervalos regulares (por ejemplo, cada minuto, día, semana o mes). Los procesos que deben ejecutarse y la hora en la que deben hacerlo se especifican en el archivo crontab.

Auditar cron es muy sencillo, ya que se trata de comprobar quién puede usarlo. Este control de autorizaciones cron se hace principalmente con dos archivos, cron.allow, en el que se definen las autorizaciones, y cron.deny, donde se consignan los usuarios denegados.

Dependiendo del tipo de sistema, la ubicación de estos dos ficheros es variable. Así, por ejemplo, en HP-UX o AIX, tanto la lista de audtorización y denegación están bajo el directorio /var/adm/cron/, mientras que en otros sistemas, como Tru64, se hallan bajo /usr/lib/cron/. Otros entornos, como los pertenecientes a la familia BSD, emplean los ficheros /var/cron/allow y /var/cron/deny

Estos ficheros no siempre existen. Si existe el fichero allow, se ignorará el fichero deny, ya que son excluyentes, con lo que lo normal es que no exista si existe el primero. En caso de no existir el fichero allow y sí existir un fichero deny, se imposibilitará que los usuarios listados en deny puedan usar cron.

Resumen

La auditoría de autorizaciones cron se basa en el análisis de las listas de autorización y denegación, en busca de situaciones anormales. Dependiendo del tipo de sistema, estas listas estarán en una ubicación determinada, y es labor del auditor una vez localizadas, determinar si los usuarios que contienen son los adecuados a la realidad de funcionamiento del sistema.

Otros ficheros que es aconsejable analizar, junto al fichero crontab, son:

/etc/default/cron (configuración por defecto de cron)
/var/cron/log (log)
/var/spool/cron/crontabs (área de spool para crontab)