Tema: Curso de EH Modulo 4 : LINUX

He visto y notado, que hay mucha gente floja en este tema, por lo que daremos adelante este modulo, asi podemos nivelar a los estudiantes.

Hoy en dia, hay muchas distribuciones basadas en LINUX, una de las mas utilizadas integrada a la Seguridad Informatica es BACKTRACK 5, el cual tiene muchas tools asociadas que nos podran servir, por ejemplo, para hacer una auditoria o pentest de un objetivo.

Obviamente que no es necesario, saber de TODASSSSS las distribuciones que hay, pero al menos tener conocimientos de las que mas se nombran (UBUNTU es una de ellas).

Cada uno puede preferir la que sea, pero mas alla de esa eleccion, el modulo de hoy, esta basado en el reconocimiento de los comandos y de algunas tools que disponemos en la mayoria de las mismas.

Empezaremos a hacer una pequeña introduccion sobre los comando basados en directorios, asi pueden hacer pruebas en sus maquinas o virtuales.



Comandos basados en directorios:

pwd : directorio actual
cd \ : vamos al directorio raiz
cd XXXXXX : ingresamos a directorio XXXXXX (XXXXXX puede ser cualquier directorio)
cd .. : salimos del directorio donde nos encontremos
cd /USR/LOCAL: nos dirige a ese directorio

ls : listamos (similar al dir de DOS)
ls -la : muestra ocultos
ls -a : contenido
ls -al : directorios encolumnados
ls -l XXXXX : permisos de XXXXX

man XX : nos da un help del comando XX

mkdir : crear directorio
rmdir : borra directorio
rm -r : borra directorio junto con su contenido (OJO con este comando)

A practicar, mientras con estos comandos, luego expondre los relacionados a archivos.

Seguimos tambien con lo relacionado en LINUX:

Comandos relacionados a archivos

Si queremos crear un archivo: cat >> xxx.txt
(luego de escribir el contenido, teclas CTRL + Z, para grabar y salir)

mv= renombra
rm= borra
cp= copia
rm -r= podremos borrar carpetas con contenido (OJO con este comando!!!!)

Tambien tenemos editores, algunos utilizan el " vi ", otros el " kate ", " emacs " o " qedit "

Sobre comandos relacionados a usuarios:

Tenemos el useradd o el adduser: para crear usuarios
useradd -d /home: le asignamos un directorio a el usuario que creamos
userdel: para borrar un usuario
users-admin: manager de usuarios estilo GUI

Sobre los usuarios es bueno que sepan, que la cuenta principal que tiene relacion a nivel de privilegios con nuestro conocido Win, es la llamada " root " en linux, " administrador " en WIN.

Otra cosa importante para saber de memoria: LINUX ES CASE SENSITIVE!!!!!!! (mayusculas son mayusculas, y minusculas son minusculas, jejejeje)

Bien, nuevamente seguimos con mas comandos y cositas de LINUX.

Hablemos de los archivos mas importantes respecto a seguridad ( PASSWD - GROUP - SHADOW ), estos se encuentran dentro de "/etc/"

ARCHIVO "passwd"

Si bien este nombre, puede causar confusion, porque tambien es un comando, para cambiar la password de un usuario, hablaremos del archivo llamado "passwd".

En el mismo, se guardan la información de usuarios creados en el sistema.

Si uno quiere ver el contenido, puede escribir: more passwd

Y veremos algo asi (realmente son un monton de lineas, pero todas tienen casi el mismo aspecto)

usuario1:x:500:501:usuario pepito:/home/usuario1:/bin/bash

El significado de cada linea es esta:

usuario1: Nombre de la cuenta (Login)
x: Clave de acceso encriptada (password)
500: UID de esta cuenta
501: GID del grupo principal al que pertenece la cuenta
usuario pepito: Nombre del usuario
/home/usuario1: Directorio de trabajo de usuario1
/bin/bash: Interprete de comando (shell) de usuario pepito

El UID 0 es dell root, debajo de UID 500 esta reservado para el sistema y encima de UID 500 para los usuarios
El GID del grupo principal esta definido en el archivo /etc/group y este sera el grupo por defecto cuando un usuario crea un fichero.

ARCHIVO " group "

El archivo /etc/group tiene una lista de los usuarios que pertenecen a los diferentes grupos. Cada vez que un gran número de usuarios puede tener acceso al sistema, frecuentemente se los ubica en grupos diferentes, cada uno de los cuales posee sus propios derechos de acceso a los archivos y directorios.

Tiene diferentes campos separados por ":":

nombre_de_grupo : campo_especial : numero_de_grupo: miembro1, miembro2


Con frecuencia, el campo especial está vacío.
El número de grupo corresponde al número del vínculo entre los archivos /etc/group y los archivos /etc/passwd.

A continuación un ejemplo de un archivo /etc/group:

root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:
tty:x:5:
disk:x:6:
lp:x:7:
wwwadmin:x:8:
kmem:x:9:
wheel:x:10:
mail:x:12:cyrus
news:x:13:news

Y POR ULTIMO EL ARCHIVO " shadow "

Ejemplo del contenido de un usuario:

jespinal:$1$N9L1HjIf$.YbfoPCCZmrqemk4zwYUb4:13918: 0:::::0

Cada una de las líneas representa un usuario y responde al esquema:

usuario : contraseña_cifrada : d1 : d2 : d3 : d4 : d5 : d6 : reservado

usuario: es el login o nombre de usuario (el mismo que en /etc/passwd)

x: contraseña: aparece una x; la contraseña se encuentra cifrada en /etc/shadow.

d1: nº de días desde el 01/01/1970 hasta último cambio de la contraseña.

d2: nº de días que deben pasar hasta que se pueda cambiar la contraseña.

d3: nº de días que deben pasar para que caduque la contraseña y deba ser cambiada.

d4: nº de días de antelación con los que avisará el sistema de la caducidad de la contraseña.

d5: nº de días con contraseña caducada antes de deshabilitar la cuenta.

d6: nº de días desde el 01/01/1970 y el día en que se deshabilitó la cuenta.

reservado: campo reservado

Es el archivo por excelencia, que los atacantes quieren tener, dada su importancia, respecto a las passwords de los usuarios.
Pueden encontrar campos que no estan completos, no son obligatorios.



Hablemos de la estructura de los directorios, les pongo a continuacion, un lindo cuadrito que encontre y muy bueno , para aprender.

/ La raíz, que contiene los directorios principales
/bin Contiene archivos ejecutables fundamentales del sistema, utilizados por todos los usuarios (como por ejemplo los comandos ls, rm, cp, chmod, mount, etc.).
/boot Contiene los archivos que permiten que Linux se inicie
/dev Contiene los puntos de entrada para los periféricos
/etc Contiene los comandos y los archivos que el administrador del sistema necesita (archivos passwd, group, inittab, ld.so.conf, lilo.conf, etc.)
/etc/X11 Contiene los archivos específicos para la configuración de X (XF86Config, por ejemplo)
/etc/opt Contiene los archivos de configuración específicos para las aplicaciones instaladas en /opt
/home Directorio personal del usuario
/lib Contiene bibliotecas compartidas que son fundamentales para el sistema durante su inicio
/mnt Contiene puntos de montaje de particiones temporales (CD-ROM, disquete, etc.)
/opt Contiene paquetes de aplicaciones suplementarias
/root Directorio del administrador de raíz
/sbin Contiene los sistemas binarios fundamentales (por ejemplo, el comando adduser)
/tmp Contiene archivos temporales
/usr Jerarquía secundaria
/usr/X11R6 Este directorio se reserva para el sistema X versión 11.6
/usr/X386 Éste es un vínculo simbólico con /usr/X11R6, el cual utilizó previamente X versión 5
/usr/bin Contiene la mayor parte de los archivos binarios y los comandos del usuario
/usr/include Contiene los archivos de encabezado para los programas C y C++
/usr/lib Contiene la mayoría de las bibliotecas compartidas del sistema
/usr/local Contiene datos que pertenecen a los programas instalados en la raíz del equipo local
/usr/local/bin Binarios de programas locales
/usr/local/games Binarios de juegos locales
/usr/local/include Archivos de encabezado locales de C y C++
/usr/local/lib Bibliotecas locales compartidas
/usr/local/sbin Binarios del sistema local
/usr/local/share Jerarquía independiente
/usr/local/src Archivos fuente locales
/usr/sbin Contiene los archivos binarios que no son fundamentales para el sistema y que se reservan para el administrador del sistema
/usr/share Reservado para datos independientes de la arquitectura
/usr/src Contiene archivos fuente de código
/var Contiene datos variables


Y por ultimo, algunos comandos varios, para practicar:

shutdown -r now= reiniciamos ya!!!!
man xx = manual del comando que pongamos en " xx "
/etc/init.d/networking start = reiniciamos los servicios de red
route = tabla de ruteo
reboot = reset
ifconfig = parametros idem que el ipconfig de WIN
lspci o lsusb = muestra informacion de los perifericos detectados (ideal para saber si reconocio los mismos)

OK, hay muchisimos comandos mas, pero con los que expuse en todo este modulo, alcanza y sobra, para entender y hacer las practicas.
Sean pacientes, que en estos dias, creare el modulo de practicas.

Saludos a todos, y no duden en preguntar please.

PD: si alguno quiere aportar mas comandos, seria muy bueno.