Embed Size (px)
DESCRIPTION
Citation preview
Parte VII. Seguridad y autenticación Ya sea que los adminis tradores nec es iten asegurar los sis temas de misión crítica, servic ios o datos,
Red Hat Enterprise Linux proporc iona una variedad de herramientas y métodos que pueden formar
parte de una estrategia de seguridad completa.
Este capítulo proporc iona una introducción general acerc a de la seguridad, espec ialmente en las
particularidades de los sistemas Red Hat Enterprise Linux. Proporc iona información conc eptual
sobre las áreas de evaluac iones de seguridad, vulnerabilidades comunes, intrusión y respuesta a
inc identes. También proporciona información de configurac ión específ ic a y conc eptual para mejorar
la seguridad en las estac iones de trabajo, servidores, VPN, cortafuegos y otras implementac iones
utilizando SELinux.
Este capítulo asume un conoc imiento bás ic o de seguridad informática y, consec uentemente, cubre
someramente práctic as c omunes de seguridad como el control de acceso físico, cumplimiento de
proc edimientos y políticas, auditorías, etc. En donde sea apropiado, se harán referenc ias a rec ursos
externos para esta y otra información relac ionada.
613
Generalidades concernientes a la
seguridad Debido a la crec iente confianza que se tiene en las poderosas c omputadoras c onectadas en redes
para ayudar a los negoc ios y para llevar un seguimiento de nues tra información personal, las
industr ias se forman alrededor de las práctic as de seguridad de la computac ión y de las redes. Las
corporac iones solicitan el conocimiento y las habilidades de los expertos en seguridad para auditar los
s istemas y ajustar soluc iones que satis fagan los requerimientos operativos de la organizac ión. Ya que
la mayoría de las organizac iones son dinámic as por naturaleza, con empleados que acceden a los
recursos informáticos de la organizac ión tanto local como remotamente, la nec es idad de ambientes
computac ionales seguros es c ada vez más relevante.
Desafortunadamente, la mayoría de las organizac iones (así como los usuarios individuales)
cons ideran la seguridad en un segundo plano, dándole mayor importanc ia al poder, productividad
y preoc upac iones presupues tarias. La implementac ión adecuada de la seguridad es a menudo
realizada postmortem — después de que ocurre una intrusión no autorizada. Los expertos de
seguridad c ons ideran que el establec imiento de medidas adec uadas antes de conectar un sitio a
una red insegura tal como la Internet, es una forma efectiva de frustrar la mayoría de los intentos de
intrus ión.
42.1. Evaluación de vulnerabilidad Con el tiempo sufic iente, los rec ursos y la motivación, un intruso puede violar casi cualquier s istema.
Al final del día, todos los procedimientos de seguridad y la tec nología disponible ac tualmente no
pueden garantizar que sus sistemas estén seguros de un ataque. Los enrutadores lo pueden ayudar
a asegurar sus puertas de enlac e (gatew ays) a la Internet. Los cortafuegos (firewalls) le permiten
asegurar el borde de su red. Las redes privadas virtuales pueden pasar con seguridad sus datos
en un flujo encriptado. Los s is temas de detecc ión de intrusos pueden advertir lo de actividades
malic iosas. Sin embargo, el éxito de cada una de estas tec nologías depende de un número de
variables, inc luyendo:
• La experienc ia del personal responsable de la configuración, supervis ión y mantenimiento de las
tec nologías.
• La habilidad de remendar y actualizar servic ios y kernels rápida y efic ientemente.
• La habilidad de aquellos responsables de mantener vigilancia constante sobre la red.
Dado el estado dinámico de los sistemas de datos y tec nologías, asegurar sus recursos corporativos
puede ser bien complejo. Debido a esta complejidad, puede ser difícil enc ontrar rec ursos expertos
para todos sus sis temas. Mientras que es posible tener personal con conoc imientos en muc has áreas
de seguridad de información a un nivel alto, es difícil mantener personal que sea experto en más
de unas pocas áreas partic ulares. Esto se debe princ ipalmente a que cada área en particular de
seguridad de la información requiere constante atenc ión y foco. La seguridad de información no se
queda quieta.
42.1.1. Pensando como el enemigo
Suppose that you adminis ter an enterprise network. Such networks are commonly comprised of
operating systems, applic ations, servers, network monitors, firewalls, intrusion detection sys tems,
and more. Now imagine trying to keep current with each of these. Given the complexity of today's
614
Definición de la evaluac ión y pruebas
software and networking environments, exploits and bugs are a certainty. Keeping current with
patc hes and updates for an entire network can prove to be a daunting task in a large organization with
heterogeneous sys tems.
Combine los requerimientos de experienc ia con la tarea de mantenerse actualizado y es inevitable
que inc identes adversos ocurrirán, habrá s is temas violados, se perderán datos y se interrumpe el
servic io.
Para incrementar su tecnología de seguridad y ayudar a proteger los sistemas, redes y datos, piense
como un cyberpirata (cracker) y es time la seguridad de los sistemas revisando sus debilidades. Las
evaluac iones de vulnerabilidad preventivas contra sus propios sis temas y rec ursos de red pueden
revelar problemas potenc iales que se pueden soluc ionar antes de que un cyberpirata los desc ubra.
Si usted tuviese que realizar una evaluac ión de la vulnerabilidad de su hogar, probablemente
verificará cada puerta de su casa para ver si es tas se enc uentran c erradas y aseguradas. Quizás
también verificará cada ventana, asegurándose de que estas se enc uentren bien cerradas y c on
seguro. Este mismo concepto aplica a los sistemas, redes y datos electrónic os. Los usuarios
malic iosos son los ladrones y vándalos de sus datos. Fíjese en sus herramientas, mentalidad y
motivac iones y podrá responder rápidamente a sus acciones.
42.1.2. Definición de la evaluación y prue bas
Las evaluac iones de vulnerabilidad se pueden dividir en dos grandes categorias : Desde afuera viendo
hacia adentro y Desde adentro viendo alrededor.
When performing an outs ide looking in vulnerability assessment, you are attempting to compromise
your systems from the outs ide. Being external to your company provides you with the cracker's
viewpoint. You see what a crac ker sees — publicly-routable IP addresses, systems on your DMZ,
external interfaces of your firewall, and more. DMZ stands for "demilitarized zone", which corresponds
to a computer or small subnetwork that sits betw een a trus ted internal network, such as a corporate
private LAN, and an untrusted external network, such as the public Internet. Typically, the DMZ
contains devic es acc ess ible to Internet traffic, such as Web (HTTP ) servers, FTP servers, SMTP (e-
mail) servers and DNS servers.
Cuando realiza una evaluac ión de vulnerabilidad desde adentro, de alguna forma usted tiene una
ventaja puesto que ya está adentro y su estatus es elevado y de confianza. Este es el punto de
vista suyo y de sus compañeros de trabajo una vez que se conectan a los sistemas. Puede ver los
servidores de impres ión, servidores de arc hivos, bases de datos y otros rec ursos.
Hay diferenc ias importantes entre estos dos tipos de evaluac ión de vulnerabilidad. Por el hecho de
ser parte de la compañía, us ted tiene mayores privilegios que cualquier persona del exterior. Hoy
día, en la mayoría de las organizac iones, la seguridad es c onfigurada para mantener a los intrusos
afuera. Se hace muy poco para asegurar la parte interna de la organizac ión (tales como cortafuegos
departamentales, controles de acceso a nivel de usuario, proc edimientos de autenticac ión para
rec ursos internos y más). Típic amente, hay muc hos más recursos cuando se mira desde adentro,
ya que la mayoría de los rec ursos son internos a la c ompañía. Una vez que se encuentra fuera de
la c ompañía, inmediatamente se le da la condición de no fiable. Los s is temas y rec ursos que tiene
disponibles son generalmente mucho más limitados.
Considere la diferenc ia entre las evaluac iones de vulnerabilidad y las pruebas de penetración.
Piense en una evaluac ión de vulnerabilidad como el primer paso de una prueba de penetración. La
información reunida a partir de la evaluac ión será usada en las pruebas. Mientras que la evaluac ión
615
Definición de la evaluac ión y pruebas
de vulnerabilidad busca huecos y vulnerabilidades potenc iales, las pruebas de penetrac ión tratan de
explotar los resultados.
El acceso a la infraes tructura de red es un proc eso dinámico. La seguridad, tanto de información
como física, es dinámic a. Al realizar una evaluac ión, se tiene una vista general, la cual puede arrojar
falsos positivos y falsos negativos.
Los administradores de seguridad son buenos en la medida que también lo sean las herramientas que
usen y el conocimiento que posean. Tome por ejemplo cualquier herramienta de evaluac ión disponible
en el merc ado y ejec útela en su sistema. Es casi que garantizado que enc ontrará al menos algunos
falsos positivos. Bien sea por un error del programa o del usuario, el resultado es el mismo. La
herramienta puede enc ontrar vulnerabilidades que en realidad no existen (falsos positivos), o
peor aún, la herramienta puede que no encuentre vulnerabilidades que ac tualmente si existen (falsos
negativos).
Ahora que ya estan definidas las diferenc ias entre evaluac iones de vulnerabilidad y pruebas de
penetrac ión, es una buena idea reunir las conc lus iones de la evaluac ión y revisarlas c uidadosamente
antes de llevar a cabo una prueba de penetrac ión como parte de sus nuevos buenos hábitos.
Aviso
Intentar explotar las vulnerabilidades sobre recursos en producción puede tener
resultados adversos a la productividad y eficiencia de sus sistemas y redes.
A continuac ión se presenta una lista con algunas ventajas de llevar a cabo evaluac iones de
vulnerabilidad.
• Crea un enfoque proactivo en la seguridad de la informac ión
• Se pueden enc ontrar los puntos de explotac ión potenc iales antes de que un intruso los enc uentre
• Genera s is temas ac tualizados y con las últimas revis iones de software
• Promoc iona el crecimiento y ayuda en el desarrollo de la experienc ia del personal
• Reduc e las pérdidas f inanc ieras y la publicidad negativa
42.1.2.1. Establecimiento de una metodología
Para facilitar en la selecc ión de herramientas para las evaluac iones de vulnerabilidad, es útil
es tablec er una metodología de evaluac ión de vulnerabilidad. Desafortunadamente, no existe
actualmente una metodología predefinida o aprobada por la industria; sin embargo, el sentido común
y los buenos hábitos pueden ac tuar como una guía completa.
¿Cuál es el objetivo? Se trata de sólo un servidor, o de la red completa y todo lo que esta dentro de
ella? Somos internos o externos a la compañía? Las respuestas a estas preguntas son importantes
pues le ayudaran a determinar no solamente c uáles herramientas selecc ionar sino también la forma
en que serán usadas.
Para aprender un poco más sobre el establec imiento de metodologías, ref iérase a los siguientes sitios
web:
• http://www.isecom.org/projects/osstmm.htm — The Open Source Security Testing Methodology
Manual (OSSTMM)
616
Definición de la evaluac ión y pruebas
• http://www.owasp.org/ — El Proyecto de seguridad de aplicaciones Web abiertas
42.1.3. Evaluación de herra mie ntas
Una evaluac ión típica puede c omenzar usando alguna herramienta para reunir informac ión. Cuando se
es té evaluando la red completa, haga un dibujo de la red primero para identificar las máquinas que
estan en ejecuc ión. Una vez identif icadas, examine cada máquina individualmente. Para enfocarse en
esas máquinas se requiere de otro conjunto de herramientas. Conoc er cuál herramienta utilizar puede
ser el paso más importante al encontrar vulnerabilidades.
Así como en todos los aspectos de la vida, hay muchas herramientas diferentes que pueden hac er el
mismo trabajo. Este concepto también aplica al realizar evaluac iones de vulnerabilidad. Hay
herramientas específ ic as al s istema operativo, aplicac iones y hasta redes (basadas en los protocolos
utilizados). Algunas herramientas son gratuitas, mientras que otras no. Algunas herramientas son
intuitivas y fáciles de utilizar, mientras que otras son enigmátic as y muy mal doc umentadas pero
tienen carac terísticas que las otras no.
Encontrar la herramienta adec uada puede ser una tarea abrumadora. Al final, la experienc ia c uenta.
Si es posible, configure un laboratorio de pruebas y evalue tantas herramientas como pueda,
anotando las fortalezas y debilidades de cada una. Revise el archivo README o la página man de
la herramienta. Además revise la internet para más informac ión, tales como artículos, guías paso a
paso, o inclusive listas de correo específ ic as a la herramienta.
Las herramientas que se disc uten a continuac ión son sólo una pequeña mues tra de las herramientas
disponibles.
42.1.3.1. Explorar hosts con Nmap
Nmap es una popular herramienta incluida en Red Hat Enterprise Linux que puede ser usada para
determinar la distribución de la red. Nmap ha estado disponible por muc hos años y es probablemente
la herramienta más usada para obtener informac ión. Se incluye una página man exc elente con una
descripc ión detallada de sus opc iones y uso. Los administradores pueden usar Nmap en una red para
enc ontrar s is temas host y puertos abiertos en esos sistemas.
Nmap es un buen primer paso para una evaluac ión de vulnerabilidad. Puede mapear todos los
hos ts dentro de la red y hasta puede pasar una opción que le permite tratar de identificar el s istema
operativo que se está ejec utando en un host en particular. Nmap es un buen fundamento para
es tablec er una política de uso de servic ios seguros y detener servic ios que no se esten usando.
42.1.3.1.1. Uso de Nmap
Nmap se puede ejec utar desde un intérprete de comandos ejec utando el comando nmap seguido del
nombre o la dirección IP de la máquina que desea explorar.
nmap foo.example.com
Los resultados de la explorac ión (lo cual puede tomar varios minutos, dependiendo de la ubic ac ión de
la máquina) se deberían ver similar a lo siguiente:
Starting nmap V. 3.50 ( www.insecure.org/nmap/ )
Interesting ports on localhost. loc aldoma in (127.0.0.1):
(The 1591 ports scanned but not sh o wn belo w are in state: closed)
617
Evaluación de herramientas
Port State Service 22/tc p o p en ssh 25/tc p o p en sm t p 111/tc p o p en sunrpc 443/tc p o p en https 515/tc p o p en printer 950/tc p o p en ofte p-rpc 6000/tcp o p en X11
Nmap run completed -- 1 IP address (1 host up) scanne d in 71.825 seconds
Nmap prueba los puertos de comunic ac ión de red más comunes por servic ios en espera o
esc uc hando. Este conocimiento puede ser útil para un administrador que desea cerrar servic ios que
no sean necesarios o que no se estén utilizando.
Para más información sobre el uso de Nmap, ref iérase a la página oficial en la s iguiente URL:
http://www.insecure.org/
42.1.3.2. Nessus
Nessus es un explorador de seguridad de servicio completo. La arquitectura de extens iones de
Nessus permite a los usuarios personalizarlo para sus sis temas y redes. Como cualquier otro
explorador, Nessus es bueno sólo si la base de datos de firmas es buena. Afortunadamente, Nessus
es ac tualizado con frecuenc ia. Esta caracterizado por tener facilidades c ompletas de informes,
explorac ión de hos ts y búsquedas de vulnerabilidades en tiempo real. Rec uerde que pueden existir
falsos positivos y falsos negativos, aún en una herramienta tan poderosa y tan actualizada como
Nessus.
Nota
Nessus no está incluido y no es soportado en Red Hat Enterprise Linux. Ha
sido incluido en este doc umento como una referenc ia a los usuarios que estén
interesados en usar esta aplic ac ión.
Para más información sobre el uso de Nessus, refiérase a la página oficial en la s iguiente URL:
http://www.nessus.org/
42.1.3.3. Nikto
Nikto es un escaneador de scripts CGI exc elente. Nikto tiene la capac idad de no sólo probar
vulnerabilidades de CGI sino también que lo hace de forma evas iva, evitando los sistemas de
detecc ión de intrusos. Viene con una documentac ión muy completa, la cual es rec omendable revisar
antes de ejec utar el programa. Si sus servidores web están sirviendo scripts CGI, Nikto puede ser un
rec urso exc elente para chequear la seguridad de estos servidores.
Nota
Nikto no está incluido y no es soportado en Red Hat Enterprise Linux. Ha sido
incluido en este doc umento como una referenc ia a los usuarios que estén
interesados en usar esta aplic ac ión.
618
Evaluación de herramientas
Se puede enc ontrar más información sobre Nikto en el s iguiente URL:
http://www.cirt.net/code/nikto.shtml
42.1.3.4. VLAD the Scanner
VLAD es un explorador desarrollado por el equipo RAZOR en Bindview, Inc. que puede ser utilizado
para verificar vulnerabilidades. comunes de seguridad de la lista Top Ten de SANS (problemas de
SNMP, problemas de compartic ión de archivos, etc.). Aún cuando no tiene tantas func ionalidades
como Nessus, vale la pena investigar VLAD.
Nota
VLAD no está incluido y no es soportado en Red Hat Enterprise Linux. Ha sido
incluido en este doc umento como una referenc ia a los usuarios que puedan estar
interesados en utilizar es ta aplic ac ión.
Se puede enc ontrar más información sobre VLA D en el sitio web del equipo RAZOR en el siguiente
URL:
http://www.bindview.com/Support/Razor/Utilities/
42.1.3.5. Anticipándose a sus futuras necesidades
Depending upon your target and resourc es, there are many tools available. There are tools for
wireless netw orks, Novell networks, Windows systems, Linux systems, and more. Another essential
part of performing assessments may include reviewing physical security, personnel screening, or
voice/PBX network assessment. New concepts, such as war walking scanning the perimeter of your
enterprise's physical structures for wireless network vulnerabilities are some emerging conc epts that
you can investigate and, if needed, inc orporate into your assessments. Imagination and exposure are
the only limits of planning and conducting vulnerability assessments.
42.2. Ataques y vulnerabilidades Para poder planear e implementar una buena estrategia de seguridad, primero debe tener en cuenta
algunos de los problemas que un atacante motivado y determinado explota para comprometer
sus sis temas. Pero antes de detallar estos problemas, debemos definir la terminología usada para
identificar un atac ante.
42.2.1. Una breve historia sobre los hackers
El signif icado moderno del término hacker tiene sus origenes en los años 60 y en el Club de Modelaje
de Trenes del Instituto de Tecnología de Massac husetts (MIT), el cual diseñaba conjuntos de trenes
de gran escala y detalle. Hacker fue el nombre usado para nombrar aquellos miembros del club que
desc ubrían un truco brillante o que resolvían un problema muy complicado.
Desde ese momento el término hac ker se ha utilizado para describir desde un aficionado a las
computadoras has ta un programador virtuoso. Un rasgo característic o de un hac ker es su dispos ic ión
de explorar en detalle cómo funcionan los sistemas de computac ión con poca o ninguna motivac ión
externa. Los desarrolladores de software de la comunidad de Código Abierto (Open Sourc e), a
menudo se c ons ideran a si mismos y a sus colegas como hac kers, como una forma de respeto.
619
Amenazas a la Seguridad de la red
Generalmente, los hac kers s iguen una forma de ética de hack ers. Ésta dec lara que la búsqueda de
información y experienc ia es esenc ial y que compartir ese conoc imiento es el compromiso de todo
hacker con la comunidad. Durante esa búsqueda de conoc imiento, algunos hac kers disfrutan los
retos académic os de burlar los controles de seguridad en s istemas de computación. Por esta razón,
la prensa usualmente utiliza este término para describir aquellos que acc eden ilegalmente a s is temas
y redes con intenc iones malic iosas o criminales. El término más adec uado para este tipo de hac ker
de computadoras es cracker o maleante informático (también se les conoc e como pirata informático,
ciberpirata, etc.) — un término creado por los hac kers en la mitad de los 80 para diferenc iar a las dos
comunidades.
42.2.1.1. Escalas de grises
Within the community of individuals who find and exploit vulnerabilities in sys tems and networks are
several distinct groups. These groups are often desc ribed by the shade of hat that they "wear" when
performing their security investigations and this shade is indicative of their intent.
Un hacker de sombrero blanco es aquel que prueba s istemas y redes para examinar su rendimiento y
determinar que tan vulnerables son éstos ante un intruso. Usualmente, los hackers de sombrero
blanc o tratan de violar sus propios sis temas o los sistemas de un cliente que los ha empleado para
propós itos de auditoría de seguridad. Los investigadores de seguridad y los consultores de seguridad
profes ional son dos ejemplos de hac kers de sombrero blanc o.
Un hacker de sombrero negro es sinónimo de un cracker. Generalmente, los crackers es tán menos
enfoc ados a la programac ión y al lado de académic o de violar un sis tema. Con frecuencia los
crac kers utilizan programas espec ializados para violar vulnerabilidades conoc idas en los sis temas
para así descubrir información confidencial para beneficio personal o para producir daños a un
s istema o a una red.
Por otro lado, un hacker de sombrero gris, tiene las habilidades e intenc iones de un hacker de
sombrero blanco pero en la mayoría de las situac iones utiliza ese conoc imiento para propós itos
menos nobles. Un hac ker de sombrero gris se puede ver como un hac ker de sombrero blanco que
usa un sombrero negro para ejec utar su propia agenda.
Los hac kers de sombrero gris usualmente se suscriben a otra forma de código ético que señala
que es aceptable entrar en un sistema s iempre y cuando el hac ker no cometa robo o viole la
confidenc ialidad. Sin embargo, otros argumentan que el sólo hecho de violar un sistema es por sí
mismo anti-ético.
No importa cual sea la intención, es importante conoc er las debilidades que un pirata intentará
explotar. El resto del capítulo se basará en estos problemas.
42.2.2. Ame nazas a la Segurida d de la red
Los malos hábitos cuando se configuran los s iguientes aspectos de una red pueden incrementar los
r iesgos de ataques.
42.2.2.1. Arquitecturas inseguras
Una red mal configurada es un punto de entrada para usuarios no autorizados. Al dejar una red
local abierta, confiable, vulnerable a la inseguridad de la Internet, es como dejar una puerta abierta
en un vecindario con alta criminalidad — puede que no ocurra nada durante un cierto tiempo, pero
ev entualmente alguien intentará aprovecharse de la oportunidad.
620
Amenazas a la Seguridad de la red
42.2.2.1.1. Redes de difusión
Los administradores de sistemas a menudo fallan al darse c uenta de la importanc ia del hardw are de
la red en sus esquemas de seguridad. El hardw are simple, como concentradores y enrutadores, a
menudo se basa en broadc ast (difusión) o en el principio de sin- interruptores; esto es, cada vez que
un nodo transmite datos a través de la red a un nodo recipiente, el conc entrador o enrutador hace
una difusión de los paquetes de datos hasta que el nodo recipiente recibe y proc esa los datos. Este
método es el más vulnerable para hac er engaños de direcc iones (spoofing) al protocolo de resoluc ión
de direcc iones (arp) o control de acceso a la media (MAC) tanto por intrusos externos como por
usuarios no autorizados.
42.2.2.1.2. Servi dores centrali zados
Otra falla potencial de redes es el uso de computac ión c entralizada. Una forma común de reduc ir
cos tos para muc hos negoc ios, es el de consolidar todos los servic ios a una sola máquina poderosa.
Esto puede ser conveniente porque es fácil de manejar y cues ta cons iderablemente menos que una
configurac ión de múltiples servidores. Sin embargo, un servidor centralizado introduce un punto único
de falla en la red. Si el servidor central está comprometido, puede dejar la red totalmente inútil o peor
aún, sens ible a la manipulac ión o robo de datos. En es tas s ituac iones un servidor central se convierte
en una puerta abierta, permitiendo el acceso a la red completa.
42.2.3. Ame nazas a la seguridad de servidores
Server security is as important as network security because servers often hold a great deal of an
organization's vital information. If a server is compromised, all of its contents may become available for
the cracker to steal or manipulate at will. The following sections detail some of the main issues.
42.2.3.1. Servicios inutilizados y puertos abiertos
Una instalac ión completa de Red Hat Enterprise Linux contiene más de 1000 paquetes de
aplic ac iones y bibliotecas. Sin embargo, la mayoría de los administradores de servidores optan por
no instalar todos los paquetes de la distribuc ión, prefir iendo una instalac ión de paquetes base que
incluye varias aplic ac iones para servidores.
42.2.3.2. Servicios sin sus parches
La mayoría de las aplic ac iones de servidores incluidas en la instalac ión por defec to, son piezas
de softw are robustas y sólidas que ya han sido probadas. Estas han sido usadas en ambientes de
producción por varios años y su código ha sido refinado en detalle y muc hos de los errores han s ido
enc ontrados y reparados.
Sin embargo, no hay tal cosa como un software sin errores y s iempre hay espac io para mejorar o
refinarlo. Más aún, el nuevo software usualmente no es probado tan r igurosamente como uno se
esperaría, debido a su reciente llegada al ambiente de producc ión o porque quizás no es tan popular
como otras aplic ac iones de servidores.
Los desarrolladores y adminis tradores de s is temas a menudo encuentran fallas (bugs) en las
aplic ac iones de servidores y publican la información de la falla en sitios webs de seguimiento de
errores y seguridad, tales como la lista de correo Bugtraq (http://www.securityfocus.com) o al sitio
web del Equipo de Respuestas a Emergenc ias de Computac ión (Computer Emergency Response
Team, CERT) (http://www.cert.org). Aún cuando es tos mec anismos constituyen una forma efectiva
de alertar a la comunidad sobre vulnerabilidades de seguridad, depende de los adminis tradores
de sis temas el aplicar los parc hes de s is temas a tiempo. Esto es partic ularmente cierto puesto que
621
Amenazas a la seguridad de servidores
los crackers tienen acceso a las mismas fuentes e intentarán utilizar esta información para violar
s istemas que no hayan sido emparc hados. Una buena adminis trac ión de sistemas requiere vigilanc ia,
seguimiento constante de errores y un mantenimiento de sistemas apropiado para asegurar un
ambiente computac ional seguro.
Refer to Sección 42.4, “Actualizaciones de seguridad” for more information about keeping a system
up-to-date.
42.2.3.3. Administración desatendida
Administrators who fail to patch their systems are one of the greates t threats to server security.
According to the System Administration Network and Security Institute (SANS), the primary cause of
computer security vulnerability is to "ass ign untrained people to maintain security and provide neither
the training nor the time to make it poss ible to do the job."1
This applies as much to inexperienc ed
administrators as it does to overconfident or amotivated adminis trators.
Algunos administradores fallan en emparc har sus servidores y es tac iones de trabajo, mientras
que otros fallan en leer los mensajes del registro de eventos del kernel del s istema o tráfico de
la red. Otro error común es dejar las contraseñas o llaves a servic ios sin modificar. Por ejemplo,
algunas bases de datos tienen contraseñas administrativas por defecto porque sus desarrolladores
asumen que el adminis trador de sistemas c ambiará estas contraseñas inmediátamente luego de la
instalac ión. Si un adminis trador de bases de datos no cambia las contraseñas, hasta un cracker s in
muc ha experienc ia puede utilizar una contraseña c onoc ida por todo el mundo para ganar acceso
con privilegios administrativos a la bases de datos. Es tos son sólo unos ejemplos de como una
adminis trac ión desc uidada puede llevar a servidores c omprometidos.
42.2.3.4. Servicios intrínsecamente inseguros
Aún hasta la organizac ión más atenta y vigilante puede ser victima de vulnerabilidades si los
servic ios de red que selecc ionen son intrínsec amente inseguros. Por ejemplo, hay muchos servic ios
desarrollados bajo la supos ic ión de que serían usados en una red confiable; sin embargo, esta
supues to falla tan pronto como el servicio se vuelve disponible sobre la Internet — la cual es por sí
misma insegura.
Una categoría de servic ios de red inseguros son aquellos que requieren nombres y contraseñas de
usuario sin encriptar para la autentic ac ión.Telnet y FTP son dos de estos servic ios. Un software de
huzmeo de paquetes que esté monitoreando el tráfico entre un usuario remoto y tal servicio, puede
fác ilmente robarse los nombres de usuario y contraseña.
Inherently, such servic es can also more easily fall prey to what the security industry terms the man-in-
the-middle attack. In this type of attack, a cracker redirects network traffic by tricking a cracked name
server on the network to point to his mac hine instead of the intended server. Once someone opens
a remote sess ion to the server, the attac ker's mac hine acts as an invisible conduit, sitting quietly
betw een the remote servic e and the unsuspec ting user capturing information. In this way a cracker
can gather administrative passwords and raw data without the server or the user realizing it.
Another category of insecure servic es include network file sys tems and information servic es such as
NFS or NIS, which are developed explicitly for LAN usage but are, unfortunately, extended to inc lude
WANs (for remote users ). NFS does not, by default, have any authentication or security mec hanisms
configured to prevent a cracker from mounting the NFS share and acc ess ing anything contained
therein. NIS, as well, has vital information that must be known by every computer on a network,
So urce: http://www.san s.o rg /secu rity- resou rces/m istakes.php
622
Amenazas a la seguridad de servidores
including passw ords and file permiss ions, within a plain text ASCII or DBM (ASCII-derived) database.
A cracker who gains access to this database can then access every user account on a network,
including the administrator's acc ount.
42.2.4. Ame nazas a la seguridad de estaciones de trabajo y PCs del
hogar
Workstations and home PCs may not be as prone to attack as netw orks or servers, but since they
often contain sens itive data, such as credit card information, they are targeted by system crac kers.
Workstations can also be co-opted without the user's know ledge and used by attac kers as "s lave"
mac hines in coordinated attacks. For these reasons, knowing the vulnerabilities of a workstation c an
save users the headache of reinstalling the operating system, or worse, recovering from data theft.
42.2.4.1. Malas contraseñas
42.2.4.2. Aplicaciones cliente vulnerables
Although an administrator may have a fully secure and patc hed server, that does not mean remote
users are secure when access ing it. For instanc e, if the server offers Telnet or FTP servic es over a
public network, an attacker can capture the plain text usernames and passwords as they pass over the
network, and then use the account information to access the remote user's w orkstation.
Aún cuando se utilicen protoc olos seguros, tales como SSH, un usuario remoto puede ser vulnerable
a ciertos ataques si no mantienen sus aplic ac iones cliente actualizadas. Por ejemplo, clientes v.1 SS H
son vulnerables a un ataque de redirecc ionamiento de X desde un servidor SSH malicioso. Una vez
conectado al servidor, el atac ante puede de manera c uidadosa c apturar los golpes de tec las y los
clics del ratón hec hos por el cliente sobre la red. Este problema se reparó con el protocolo v.2 SSH,
pero depende del usuario hac er un seguimiento de qué aplic ac iones tienen tales vulnerabilidades y
actualizarlas si es necesario.
42.3. Ataques y agresiones comunes Tabla 42.1, “Agresiones comunes” details some of the most common exploits and entry points used
by intruders to access organizational network resourc es. Key to these common exploits are the
explanations of how they are performed and how administrators can properly safeguard their network
against such attac ks.
Agre siones De scripción Notas
Contraseñas
nulas o por
defecto
Dejar las contraseñas adminis trativas
en blanco o usar la contraseña
predeterminada proporc ionada
por el fabricante. Esto sucede
frec uentemente en hardw are c omo
enrutadores y cortafuegos, aunque
algunos servic ios que corren en
Linux pueden c ontener c ontraseñas
administrativas predeterminadas (Red
Hat Enterprise Linux 5 no se entrega
con ellas).
Asoc iado generalmente con hardw are
de red como enrutadores, c ortafuegos,
VPNs y redes de almacenamiento
adjunto (NAS).
Frec uente en s istemas operativos de
legado, espec ialmente aquellos que
contienen servic ios (tales como UNIX
y Windows).
Algunas veces los adminis tradores
crean de prisa c uentas de usuarios
privilegiados y dejan la c ontraseña
vacía, un punto de entrada perfecto
623
Ataques y agres iones c omunes
Agre siones De scripción Notas
para usuarios malignos que desc ubren
la c uenta.
Contraseñas
compartidas por
defecto
IP Spoofing
(Engaño de IPs)
Intercepción
pas iva
Hay servic ios seguros que a veces
incluyen llaves de seguridad por
defecto para propós itos de desarrollo
o de prueba. Si estas llaves se dejan
sin modificar y se coloc an en un
ambiente de producción en la Internet,
todos los usuarios con la misma
llave por defec to tienen acceso a
ese recurso y a toda la informac ión
confidencial que pueda c ontener.
Una máquina remota actúa como
un nodo en su red local, enc uentra
vulnerabilidades con sus servidores
e instala un programa en el fondo o
un caballo de troya para ganar control
sobre los rec ursos de su red.
Reunir datos que pasan entre dos
nodos activos en una red mediante el
ras treo de la conexión entre los dos
nodos.
Comunes en puntos de acceso
inalámbrico y produc tos para
servidores de seguridad
preconfigurados.
Un "Spoofing" es bastante difícil de
ejec utar, ya que envuelve la predicción
del número TCP/IP SYN-ACK por
parte del atacante para coordinar
una conexión al s is tema objetivo. Sin
embargo, hay varias herramientas
disponibles que ayudan a los crac kers
en la ejecuc ión de este ataque.
Depende de los servic ios
ejec utándose en el s istema objetivo
(tales como rsh, telnet, FTP y
otros) que usan técnicas de
autentic ac ión basadas en fuente, las
cuales no son recomendables si se
les compara con PKI u otras formas
de autentic ac ión encriptada como las
utilizadas por ssh o SSL/TLS.
Este tipo de ataque funciona con
protocolos de transmis ión de texto
llano tales como Telnet, FTP, y
transferenc ias HTTP.
Los atac antes remotos deben tener
acceso a un sistema comprometido
en un LAN para poder ejec utar dic ho
ataque; generalmente el cracker ha
utilizado un ataque activo (tal como
IP spoofing o man-in-the-middle) para
comprometer un s is tema en un LAN.
Entre las medidas preventivas se
incluyen los servic ios con cambios
de llaves encriptadas, contraseñas de
un solo uso o autentic ac ión encriptada
para prevenir la captura de
contraseñas (snooping). Es asimismo
rec omendable la encriptac ión severa
durante la transmis ión.
624
Ataques y agres iones c omunes
Agre siones De scripción Notas
Vulnerabilidades
de servicios
Vulnerabilidades
de las
aplic ac iones
Un atac ante enc uentra una falla
o un huec o en un servicio que se
ejec uta en la Internet; a través de
esa vulnerabilidad, el atac ante puede
comprometer el s istema c ompleto y
cualquier dato que c ontenga. También
podría comprometer otros sistemas en
la red.
Los atac antes enc uentran fallas en
aplic ac iones de escritorio y de
es tac iones de trabajo (tales como
clientes de correo electrónic o) y
ejec utan código arbitrario, implantan
caballos de troya para comprometer
los sis temas en un futuro o dañan
los sis temas. Pueden ocurrir otras
agres iones si la estac ión de trabajo
tiene privilegios administrativos sobre
el resto de la red.
HTTP-based services such as CGI
are vulnerable to remote command
exec ution and even interactive shell
access. Even if the HTTP service
runs as a non-privileged user such
as "nobody", information such as
configuration f iles and network maps
can be read, or the attac ker c an
start a denial of servic e attack which
drains system resourc es or renders it
unavailable to other users.
En algunas oc as iones, los servicios
pueden presentar vulnerabilidades
que pasan inadvertidas durante los
periodos de desarrollo y prueba;
estas vulnerabilidades (como el buffer
overflows, en donde los atacantes
congelan el servicio utilizando valores
arbitrarios que llenan el buffer de
memoria de una aplicac ión, dando
al atacante un entrada de comandos
interactiva desde la cual pueden
ejecutar comandos arbitrarios) pueden
dar control adminis trativo completo a
un atac ante.
Los administradores deben
asegurarse de no ejec utar los
servic ios como usuarios root.
Asimismo, los administradores deben
permanec er pendientes de los parc hes
y actualizac iones de erratas de
aplic ac iones que son expedidos por
distr ibuidores u organizac iones de
seguridad como CERT y CVE.
Las estac iones de trabajo y los
escritorios son más susceptibles de
ataques porque los empleados no
tienen la sufic iente experienc ia para
prevenir o detectar una máquina
comprometida. Es importante informar
a las personas sobre los riesgos de
instalar software no autorizado o de
abrir correo no solic itado.
Se pueden implementar medidas
de seguridad, evitar, por ejemplo,
que el cliente de correo abra
automátic amente o ejec ute los
anexos. Adic ionalmente, las
actualizac iones automátic as de
625
Ac tualizac iones de seguridad
Agre siones De scripción Notas
software de las estac iones de trabajo
a través de Red Hat Network u
otros servic ios de adminis trac ión de
s istemas pueden aliviar la carga de
las distr ibuc iones de seguridad en
múltiples pues tos.
Ataques de
rechazo de
servicio (DoS,
Denial of Servic e)
Attacker or group of attac kers
coordinate against an organization's
network or server resources by
sending unauthorized pac kets to the
target host (either server, router, or
workstation). This forces the resourc e
to become unavailable to legitimate
users.
El caso más conocido y reportado
de un ataque DoS ocurrió en los
Es tados Unidos en 2000. Varios
sitios comerc iales y gubernamentales
permanec ieron no disponibles debido
a un ataque c oordinado que utilizó
varios sistemas c omprometidos c on
conexiones de anc ho de banda amplia
que actuaron como zombies, o nodos
de redirecc ión de emis ión.
Los paquetes fuentes son
frecuentemente bifurcados (o
redirigidos) para dificultar la
investigac ión de la verdadera fuente
del ataque.
Avanc es en filtrados de entradas
(IETF rfc2267) utilizando iptables
y Network IDSes tales como snort
as is ten a los adminis tradores con el
seguimiento y prevenc ión de ataques
DoS.
Tabla 42.1. Agres iones c omunes
42.4. Actualizaciones de seguridad A medida que se descubren fallas de seguridad en el softw are, éste debe ser actualizado para
sellar cualquier posible riesgo de seguridad. Si el paquete es parte de una distribución de Red
Hat Enterprise Linux actualmente soportada, Red Hat, Inc. está en la obligación de producir los
paquetes de actualización que reparen las vulnerabilidades tan pronto como sea posible. A menudo,
el anunc io de una falla de seguridad viene ac ompañado de un parc he (o el código fuente que repara
el problema). Este parc he es aplic ado al paquete de Red Hat Enterprise Linux, probado por el equipo
de control de calidad de Red Hat y luego distribuido como una actualizac ión de erratas. Sin embargo,
si el anunc io no incluye un parc he, un desarrollador de Red Hat trabajará con la persona enc argada
de mantener el software con el fin de reparar el problema. Después de la reparac ión del problema, el
paquete es probado y distribuido como una actualizac ión de errata.
Si se ha distribuido una actualizac ión de errata para algún softw are usado en su s istema, se le
rec omienda que actualic e los paquetes afectados tan pronto como estos sean public ados para
minimizar el tiempo en que su sistema está potenc ialmente vulnerable.
42.4.1. Actualización de paquetes
Cuando actualice software en un sistema, es importante descargar la actualizac ión desde una fuente
confiable. Un intruso puede fác ilmente reconstruir una versión de un paquete con el mismo número
626
Ac tualizac iones de seguridad
de versión como el que se supone va a reparar el problema, pero con una agres ión de seguridad
diferente en el paquete y distribuir lo en Internet. Si ésto ocurre, no se detectará la agres ión c uando se
utilicen medidas de seguridad tales como la verificación de archivos contra el RPM original. Por esta
razón, es muy importante que solamente desc argue RPMs desde fuentes confiables, tales como Red
Hat, Inc. y verifique la firma del paquete para asegurarse de su integridad.
Red Hat proporc iona dos maneras de encontrar información sobre las actualizac iones de erratas :
1. Listadas y disponibles para su descarga desde Red Hat Network
2. Listadas y desvinc uladas del sitio web de Erratas de Red Hat
Nota
A partir de la línea de productos Red Hat Enterprise Linux, solamente se pueden
desc argar los paquetes de actualizac iones desde Red Hat Network. Aunque el
sitio web de erratas de Red Hat contiene información sobre las actualizac iones, no
contiene los paquetes para ser desc argados.
42.4.1.1. Utilizando Red Hat Network
Red Hat Network le permite automatizar la mayoría de los proc esos de actualización. Determina
cuáles paquetes RPM son nec esarios para el s istema, los desc arga desde repos itorios seguros,
verifica la firma del RPM para asegurarse de que no han sido dañados y los actualiza. La instalac ión
del paquete puede ocurrir de inmediato o puede ser planif icada durante un cierto período de tiempo.
Red Hat Network requiere un Perfil del sistema para cada máquina que desea actualizar. El Perfil del
Sistema c ontiene la información del hardw are y softw are del s is tema. Esta información se mantiene
como confidencial y no se entrega a nadie más. Sólo se utiliza para determinar c uales actualizac iones
de errata son aplic ables a cada s istema. Sin esta informac ión, Red Hat Network no puede determinar
si su sistema nec es ita actualizac iones. Cuando una errata de seguridad (o cualquier tipo de errata)
es public ada, Red Hat Network le enviará un correo electrónic o con una descripc ión de la errata así
como también cuáles de sus s is temas son afec tados. Para aplicar la actualizac ión, puede utilizar el
Red Hat Update Agent o planificar para que el paquete sea actualizado a través del sitio web http://
rhn.redhat.com.
Tip
Red Hat Enterprise Linux incluye la Herramienta de notificación de alerta de Red
Hat Network . Esta conveniente aplic ac ión mues tra un icono en panel que visualiza
las alertas c uando hay una actualizac ión para los sistemas Red Hat Enterprise
Linux. Consulte el s iguiente URL para más información sobre el aplique: https://
rhn.redhat.com/rhn/help/quickstart.jsp
Importante
Before installing any security errata, be sure to read any spec ial instructions
contained in the errata report and exec ute them accordingly. Refer to
Sección 42.4.1.5, “A plicar los cambios” for general instructions about applying the
changes made by an errata update.
627
Actualizac ión de paquetes
42.4.1.2. Utilizando el sitio web de Erratas de Red Hat
Cuando se lanzan los informes de errata, estos son publicados en el sitio web de Erratas de Red
Hat en http://www.redhat.com/security/. Desde esta página, seleccione el producto y la vers ión de
su sistema y luego selecc ione se guridad en la parte superior de la página para sólo desplegar
los Advertenc ia de seguridad de Red Hat Enterprise Linux. Si la s inops is de alguna de
las rec omendac iones describe un paquete usado en su sistema, pulse en la sinops is para ver más
detalles.
La página de detalles describe las violaciones de seguridad y cualquier instrucción espec ial que se
deba llevar a cabo adic ionalmente para actualizar el paquete y reparar el huec o de seguridad.
Para descargar el paquete actualizado, pulse en el enlac e para iniciar una ses ión en Red Hat
Network, luego pulse el nombre del paquete y guárdelo al disco duro. Se recomienda que cree un
nuevo directorio tal como /tmp/updates y guarde todos los paquetes descargados en él.
42.4.1.3. Verificar paquetes firmados
Todos los paquetes de Red Hat Enterprise Linux están firmados con la llave GPG de Red Hat, Inc.
GPG viene de GNU Privacy Guard, o GnuPG, un paquete de softw are libre utilizado para asegurarse
de la autentic idad de los paquetes distr ibuidos. Por ejemplo, una llave privada (llave secreta) de Red
Hat bloquea el paquete mientras que la llave pública desbloquea y verifica el paquete. Si la llave
pública distribuida por Red Hat no coincide con la llave privada durante la verificación de RPM, puede
que el paquete haya sido alterado y por lo tanto no se puede confiar en el.
La utilidad de RPM dentro de Red Hat Enterprise Linux trata automáticamente de verificar la firma
GPG de un paquete RPM antes de instalarlo. Si no tiene la llave GPG de Red Hat ins talada, ins tálela
desde una ubic ac ión segura y estátic a tal como un CD-ROM de instalac ión de Red Hat Enterprise
Linux.
Asumiendo que el CD-ROM se enc uentra montado en /mnt/cdrom, utilice el s iguiente comando
para importarla a su llavero (una base de datos de llaves confiables en el s istema):
rpm --import /mnt/cdrom/RPM-GPG-KEY-redhat-release
Para desplegar una lista de todas las llaves ins taladas para ser verif ic adas por RPM, ejecute el
comando:
rpm -qa gpg-pubkey*
Para la llave de Red Hat, la salida incluirá lo siguiente:
gp g-p u bk ey -3 7 0 1 7 1 8 6-4 5 7 6 13 2 4
Para desplegar detalles sobre una llave específ ic a, utilice el comando rpm -qi seguido de la salida
del comando anterior, como se muestra en este ejemplo :
rpm -qi gpg-pubkey-37017186-45761324
Es extremadamente importante que verif ique la firma de sus archivos RPM antes de instalarlos para
asegurarse de que la llave no ha sido alterada desde la publicac ión de los paquetes por Red Hat.
Para verificar todos los paquetes descargados de una vez, escriba el comando s iguiente:
628
Actualizac ión de paquetes
rpm -K /tmp/updates/*.rpm
For eac h pac kage, i f the GPG key verifies successfully, the command returns gpg OK. If it doesn't,
make sure you are using the correct Red Hat public key, as well as verifying the sourc e of the content.
Packages that do not pass GPG verifications should not be installed, as they may have been altered
by a third party.
Después de verificar la llave GPG y desc argar todos los paquetes asoc iados con el informe de
errores, ins tálelos como usuario root desde un shell.
42.4.1.4. Instalación de paquetes firmados
La instalac ión para la mayoría de los paquetes se puede hacer sin perc anc es (exc epto para los
paquetes kernel), con el comando s iguiente:
rpm -Uvh /tmp/updates/*.rpm
Para los paquetes del kernel utilice el c omando que s igue:
rpm -ivh /tmp/updates/<kernel-package>
Replac e <kernel-package> in the previous example with the name of the kernel RPM.
Una vez que la máquina ha sido reinic iada sin problemas usando el nuevo kernel, se puede eliminar
el viejo kernel utilizando el comando s iguiente:
rpm -e <old-kernel-package>
Replac e <old-kernel-package> in the previous example with the name of the older kernel RPM.
Nota
No se requiere que elimine el viejo kernel. El gestor de arranque por defecto, GRUB,
permite tener instalados múltiples kernels y selecc ionarlos desde el menú durante e l
arranque.
Importante
Before installing any security errata, be sure to read any spec ial instructions
contained in the errata report and exec ute them accordingly. Refer to
Sección 42.4.1.5, “A plicar los cambios” for general instructions about applying the
changes made by an errata update.
42.4.1.5. Aplicar los cambios
Después de desc argar e instalar las erratas de seguridad a través de Red Hat Network o del sitio
web de Erratas de Red Hat, es importante que detenga el uso del software viejo y comience a
629
Actualizac ión de paquetes
utilizar el nuevo software. Como se lleve esto a cabo va a depender del tipo de softw are que se haya
actualizado. La lista s iguiente muestra las diferentes c ategorías generales de software y proporc iona
instrucc iones para utilizar las vers iones ac tualizadas luego de una actualizac ión de paquetes.
Nota
En general, la forma más segura de asegurarse que se está utilizando la vers ión
más reciente de un paquete de softw are es reinic iando el s istema; sin embargo, esta
opción no siempre está disponible para el adminis trador del s is tema.
Aplic aciones
Las aplic ac iones del espac io de usuario son cualquier programa que puede ser iniciado por
un usuario del s is tema. Generalmente, tales aplic ac iones son solamente utilizadas cuando un
usuario, script o tarea automátic a las lanza y no pers is ten por largos períodos de tiempo.
Una vez que tal aplic ación del espac io de usuario es actualizada, detenga cualquier instanc ia
de la aplic ación en el s istema y lance el programa nuevamente para así utilizar la vers ión
actualizada.
Kernel
El kernel es el c omponente de software central para el sistema operativo de Red Hat Enterprise
Linux. Éste se encarga de manejar el acceso a la memoria, el proc esador y los periféricos así
como también, planif ica todas las tareas.
Debido a su rol central, el kernel no puede reinic iarse s in detener el computador. Por lo tanto, una
versión actualizada del kernel no puede ser usada hasta que el sistema no se reinic ie.
Bibliotecas compartidas
Las bibliotecas c ompartidas son unidades de código, tales como glibc, que son usadas por
un número de aplic ac iones y servic ios. Las aplic ac iones que utilizan una biblioteca compartida
típic amente cargan el código compartido cuando la aplic ac ión es inicializada, así cualquier
aplic ac ión que esté utilizando la biblioteca debe ser detenida y relanzada.
Para determinar c uáles aplic ac iones en ejec uc ión estan enlazadas a una biblioteca en particular,
utilice el c omando lsof, como se muestra en el ejemplo:
lsof /usr/lib/libwrap.so*
Este comando devuelve una lista de todos los programas en ejecuc ión que es tán usando TCP
wrappers para el control de acceso a máquinas. Por lo tanto, cualquier programa listado debe ser
detenido y relanzado si el paquete tcp_wrappers es actualizado.
Servic ios SysV
Los servicios SysV son programas del servidor pers is tentes, que son lanzados durante el proc eso
de arranque. Ejemplos de servic ios SysV incluyen sshd, vsftpd y xinetd.
Debido a que estos programas usualmente pers isten en memoria, s iempre y cuando la máquina
es té enc endida, cada servicio SysV actualizado, debe ser detenido y relanzado después de una
actualizac ión de paquetes. Esto se puede hacer usando la Herramienta de configuración de
servicios o conectándose como root en un indicador de comandos shell y ejecutando el c omando
/sbin/service como se muestra en el ejemplo siguiente:
630
Actualizac ión de paquetes
/sbin/service <service-name> restart
In the previous example, replac e <service-name> with the name of the servic e, such
as sshd. Servic ios xinetd
Los servicios controlados por el super servicio xinetd sólo func ionan c uando hay una
conexión activa. Ejemplos de servic ios controlados por xinetd incluyen Telnet, IMAP, y
POP3.
Pues to que xinetd lanza nuevas ins tanc ias de estos servic ios c ada vez que se recibe
una nueva petición, las conexiones que oc urren después de una actualizac ión son
maneja das por el softw are actualizado. Sin embargo, si hay conexiones ac tivas en el
momento en que el servic io controlado por xinetd es ac tualizado, estas son servidas
por la versión vieja del softw are.
Para matar todas las ins tanc ias viejas de un servicio controlado por xinetd, actualic e el
paquete para el servicio y luego detenga todos los proc esos que se es ten ejec utando en
ese momento. Para determinar si el proceso está en ejec uc ión, utilice el c omando ps y
luego use kill o killall para detener todas las instanc ias ac tuales del servicio.
Por ejemplo, si hay erratas de seguridad para paquetes imap, actualice los
paquetes, luego esc riba el comando s iguiente como root en un indicador de
comandos :
ps -aux | grep im a p
Este comando devuelve todas las ses iones activas de IMAP. Las sesiones individuales
pueden ser terminadas luego usando el comando que sigue:
kill <PID>
Si la ses ión no es f inalizada después de ejec utar este c omando, utilice el comando
siguiente:
kill -9 <PID>
In the previous examples, replac e <PID> with the proc ess identification number
(found in the sec ond column of the ps command) for an IMAP sess ion.
Para matar todas las sesiones IMAP activas, utilice el c omando que s igue:
killall imapd
