|
La seguridad es una función que comienza y termina con el administrador de sistema. Mientras que los sistemas multi-usuario BSD UNIX® tienen una inherente seguridad, el trabajo de construir y mantener mecanismos de seguridad adicionales para mantener a los usuarios de manera “honesta” es probablemente una de las unicas tareas del administrador del sistema. Los sistemas son tan seguros como uno los haga, los problemas de seguridad compiten con la necesidad humana de conveniencia. Los sistemas UNIX en general, son capaces de correr una gran cantidad de procesos simultáneos, de los cuales muchos de estos son servidores - lo que significa que entidades externas pueden conectarse y “hablar” con ellos. Asi como las mini-computadoras del ayer se convirtieron en los ahora escritorios de trabajo, y las computadoras se interconectaron, la seguridad cada ves se hace un problema mas grande.
La seguridad es mejor implementada como “cebolla” en capas. Basicamente, lo que se quiere hacer es crear la mayor cantidad posible de convenientes capas de seguridad para luego cuidadosamente monitorear el sistema para detectar intrusos. No es conveniente sobreconstruir la seguridad, ya que esta interferira con el aspecto de detección, y la detección es uno de los mas importantes aspectos de cualquier mecanismo de seguridad. Por ejemplo, no tiene mucho sentido usar los flags de schg (ver chflags(1)) en cada sistema binario, ya que mientras este puede protejer los binarios temporalmente, hace que el algun cambio hecho por un atacante sea difícil de detectar y puede resultar que el mecanismo de seguridad no detecte al atacante en lo absoluto.
La seguridad del sistema depende también de estar preparado para diferentes formas de ataque, incluyendo intentos de quebrar el sistema, o hacer un sistema inservible, pero no intentos de comprometer al usuario root (“quebrar root”). Los problemas de seguridad estan separados en diferentes categorias:
Ataques de Negación de servicio (DoS).
Compromisos en cuentas de usuarios.
Compromisos de root por medio de servidores accesibles.
Compromisos de root por medio de cuentas de usuarios.
Creación de puertas de entrada.
Un ataque de negación de servicio es una acción que priva al sistema de los recursos requeridos. Generalmente, los ataques DoS son mecanismos de fuerza bruta que intentan quebrar el sistema forzando sus servidores. Algunos ataques DoS intentan aprovecharse de bugs en la red para quebrar el sistema con un solo paquete. Esto puede ser solucionado aplicando en el kernel una actualización que arregle el bug. Los ataques en servidores muchas veces pueden ser solucionados aplicando opciones apropiadas para limitar la carga del sistema en condiciones adversas. Los ataques de fuerza bruta en redes son mas complicados. Los ataques con paquetes enmascarados, por ejemplo, son casi imposible de detener, el cual puede desconectar el sistema de Internet. Pueden no quebrar el sistema, pero saturaran la conexión a Internet.
Éste y otros documentos pueden obtenerse en ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Para preguntas acerca de FreeBSD, leer la documentación antes de contactar con la lista
<questions@FreeBSD.org>.
Para preguntas acerca de esta documentación, e-mail a <doc@FreeBSD.org>.
Hosting by: hurra.com
Generated: 2007-01-26 18:00:31