Uso de permisos UNIX para proteger archivos

Los archivos se pueden proteger mediante permisos de archivo UNIX y mediante ACL. Los archivos con bits de permanencia y los archivos que son ejecutables requieren medidas de seguridad especiales.

Comandos para visualizar y proteger archivos

En esta tabla, se describen los comandos para supervisar y proteger archivos y directorios.

Tabla 6-1 Comandos para proteger archivos y directorios

Comando	Descripción	Página del comando man
`ls`	Muestra los archivos en un directorio e información sobre los archivos.	`ls`(1)
`chown`	Cambia la propiedad de un archivo.	`chown`(1)
`chgrp`	Cambia la propiedad de grupo de un archivo.	`chgrp`(1)
`chmod`	Cambia permisos en un archivo. Puede utilizar el modo simbólico, que utiliza letras y símbolos, o el modo absoluto, que utiliza números octales, para cambiar los permisos en un archivo.	`chmod`(1)

Propiedad de archivos y directorios

Los permisos de archivo UNIX tradicionales pueden asignar propiedad a tres clases de usuarios:

usuario: el propietario del archivo o directorio, que, normalmente, es el usuario que creó el archivo. El propietario de un archivo puede decidir quién tiene derecho a leer el archivo, escribir en el archivo (realizar cambios en él) o, si el archivo es un comando, ejecutar el archivo.
grupo: los miembros de un grupo de usuarios.
otros: todos los demás usuarios que no son los propietarios del archivo y no son miembros del grupo.

El propietario del archivo, normalmente, puede asignar o modificar permisos de archivo. Además, los usuarios o roles con capacidades administrativas, como superusuario o el rol de administrador principal, pueden cambiar la propiedad de un archivo. Para sustituir la directiva del sistema, consulte el Ejemplo 6-2.

Un archivo puede ser uno de siete tipos. Cada tipo se muestra con un símbolo:

- (símbolo menos): Texto o programa
b: Archivo especial de bloques
c: Archivo especial de caracteres
d: Directorio
l: Enlace simbólico
s: Socket
D: Puerta
P: Conducción con nombre (FIFO)

Permisos de archivo UNIX

En la siguiente tabla, se muestran y se describen los permisos que puede otorgar a cada clase de usuario para un archivo o directorio.

Tabla 6-2 Permisos de archivos y directorios

Símbolo	Permiso	Objeto	Descripción
`r`	Lectura	Archivo	Los usuarios designados pueden abrir y leer el contenido de un archivo.
		Directorio	Los usuarios designados pueden enumerar archivos en el directorio.
`w`	Escritura	Archivo	Los usuarios designados pueden modificar el contenido del archivo o eliminar el archivo.
		Directorio	Los usuarios designados pueden agregar archivos o enlaces en el directorio. También pueden eliminar archivos o enlaces en el directorio.
`x`	Ejecución	Archivo	Los usuarios designados pueden ejecutar el archivo si es un programa o una secuencia de comandos de shell. También pueden ejecutar el programa con una de las llamadas del sistema `exec(2)`.
		Directorio	Los usuarios designados pueden abrir o ejecutar archivos en el directorio. También pueden hacer que el directorio y los directorios debajo de él sean los actuales.
`-`	Denegado	Archivo y directorio	Los usuarios designados no pueden leer, escribir ni ejecutar el archivo.

Estos permisos de archivo se aplican a archivos regulares y a archivos especiales, como dispositivos, sockets y conducciones con nombre (FIFO).

Para un enlace simbólico, los permisos que se aplican son los permisos del archivo al que el enlace hace referencia.

Puede proteger los archivos de un directorio y sus subdirectorios estableciendo permisos de archivo restrictivos en ese directorio. Tenga en cuenta que, sin embargo, el superusuario tiene acceso a todos los archivos y directorios en el sistema.

Permisos de archivo especiales (`setuid`, `setgid` y bit de permanencia)

Tres tipos de permisos especiales están disponibles para archivos ejecutables y directorios públicos: setuid, setgid y bit de permanencia. Cuando estos permisos se establecen, cualquier usuario que ejecuta ese archivo ejecutable asume el ID del propietario (o grupo) del archivo ejecutable.

Debe ser extremadamente cuidadoso cuando define permisos especiales, porque los permisos especiales constituyen un riesgo de seguridad. Por ejemplo, un usuario puede obtener capacidades de superusuario mediante la ejecución de un programa que establece el ID de usuario (UID) en 0, que es el UID de root. Además, todos los usuarios pueden establecer permisos especiales para archivos que poseen, lo cual constituye otro problema de seguridad.

Debe supervisar el sistema para detectar cualquier uso no autorizado de los permisos setuid y setgid con intención de obtener capacidades de superusuario. Un permiso sospechoso concede la propiedad de un programa administrativo a un usuario en lugar de a root o bin. Para buscar y mostrar todos los archivos que utilizan este permiso especial, consulte Cómo buscar archivos con permisos de archivo especiales.

Permiso `setuid`

Cuando el permiso setuid se establece en un archivo ejecutable, se otorga acceso a un proceso que ejecuta este archivo según el propietario del archivo. El acceso no se basa en el usuario que está ejecutando el archivo ejecutable. Este permiso especial permite a un usuario acceder a los archivos y directorios que, normalmente, están disponibles sólo para el propietario.

Por ejemplo, el permiso setuid del comando passwd hace posible que los usuarios cambien contraseñas. Un comando passwd con permiso setuid sería de la siguiente manera:

-r-sr-sr-x   3 root     sys       28144 Jun 17 12:02 /usr/bin/passwd

Este permiso especial presenta un riesgo de seguridad. Algunos usuarios determinados pueden buscar una manera de mantener los permisos que se les otorgan mediante el proceso setuid, incluso después de que el proceso ha terminado de ejecutarse.

Nota - El uso de permisos setuid con los UID reservados (de 0 a 100) de un programa podría no establecer el UID efectivo correctamente. Utilice una secuencia de comandos de shell o evite el uso de los UID reservados con permisos setuid.

Permiso `setgid`

El permiso setgid es similar al permiso setuid. Se cambia el ID de grupo (GID) efectivo del proceso al grupo que posee el archivo y se le concede acceso a un usuario según los permisos que se otorgan a ese grupo. El comando /usr/bin/mail tiene permisos setgid:

-r-x--s--x   1 root   mail     67504 Jun 17 12:01 /usr/bin/mail

Cuando el permiso setgid se aplica a un directorio, los archivos que se crearon en ese directorio pertenecen al grupo al que pertenece el directorio. Los archivos no pertenecen al grupo al que pertenece el proceso de creación. Cualquier usuario que tiene permisos de escritura y ejecución en el directorio puede crear un archivo allí. Sin embargo, el archivo pertenece al grupo que posee el directorio, no al grupo al que pertenece el usuario.

Debe supervisar el sistema para detectar cualquier uso no autorizado del permiso setgid con intención de obtener capacidades de superusuario. Un permiso sospechoso otorga acceso de grupo a tal programa a un grupo poco común en lugar de a root o bin. Para buscar y mostrar todos los archivos que utilizan este permiso, consulte Cómo buscar archivos con permisos de archivo especiales.

Bit de permanencia

El bit de permanencia es un bit de permiso que protege los archivos dentro de un directorio. Si el directorio tiene el bit de permanencia establecido, un archivo sólo puede ser eliminado por el propietario del archivo, el propietario del directorio o un usuario con privilegios. El usuario root y el rol de administrador principal son ejemplos de usuarios con privilegios. El bit de permanencia impide que un usuario elimine los archivos de otros usuarios de directorios públicos, como /tmp:

drwxrwxrwt 7  root  sys   400 Sep  3 13:37 tmp

Asegúrese de definir el bit de permanencia manualmente al configurar un directorio público en un sistema de archivos TMPFS. Para obtener instrucciones, consulte el Ejemplo 6-5.

Valor `umask` predeterminado

Al crear un archivo o directorio, se crea con un conjunto predeterminado de permisos. Los valores predeterminados del sistema son abiertos. Un archivo de texto tiene permisos 666, que conceden permisos de lectura y escritura a todos los usuarios. Un directorio y un archivo ejecutable tienen permisos 777, que conceden permisos de lectura, escritura y ejecución a todos los usuarios. Normalmente, los usuarios sustituyen los valores predeterminados del sistema en los archivos /etc/profile, .cshrc o .login.

El valor asignado por el comando umask se obtiene del valor predeterminado. Este proceso tiene el efecto de denegar permisos de la misma forma que el comando chmod los otorga. Por ejemplo, el comando chmod 022 otorga permiso de escritura para grupo y otros. El comando umask 022 deniega permiso de escritura para grupo y otros.

En la siguiente tabla, se muestran algunos valores umask típicos y el efecto que tienen en un archivo ejecutable.

Tabla 6-3 Valores umask para niveles de seguridad diferentes

Nivel de seguridad	Valor `umask`	Permisos no permitidos
Permisivo (`744`)	`022`	`w` para grupo y otros
Moderado (`740`)	`027`	`w` para grupo, `rwx` para otros
Moderado (`741`)	`026`	`w` para grupo, `rw` para otros
Grave (`700`)	`077`	`rwx` para grupo y otros

Para obtener más información sobre el establecimiento del valor umask, consulte la página del comando man umask(1).

Modos de permiso de archivo

El comando chmod permite cambiar los permisos en un archivo. Debe ser superusuario o el propietario de un archivo o directorio para cambiar los permisos.

Puede utilizar el comando chmod para definir permisos en uno de los dos modos siguientes:

Modo absoluto: use números para representar permisos de archivo. Al cambiar los permisos mediante el modo absoluto, representa los permisos para cada triplo con un número de modo octal. El modo absoluto es el método que se utiliza con más frecuencia para establecer permisos.
Modo simbólico: utilice combinaciones de letras y símbolos para agregar o eliminar permisos.

En la siguiente tabla, se muestran los valores octales para configurar permisos de archivo en modo absoluto. Use estos números en conjuntos de tres para definir permisos para propietario, grupo y otros, en ese orden. Por ejemplo, el valor 644 establece permisos de lectura y escritura para propietario, y permisos de sólo lectura para grupo y otros.

Tabla 6-4 Establecimiento de permisos de archivo en modo absoluto

Valor octal	Permisos de archivo establecidos	Descripción de permisos
`0`	`---`	Sin permisos
`1`	`--x`	Sólo permiso de ejecución
`2`	`-w-`	Sólo permiso de escritura
`3`	`-wx`	Permisos de escritura y ejecución
`4`	`r--`	Sólo permiso de lectura
`5`	`r-x`	Permisos de lectura y ejecución
`6`	`rw-`	Permisos de lectura y escritura
`7`	`rwx`	Permisos de lectura, escritura y ejecución

En la siguiente tabla, se muestran los símbolos para establecer permisos de archivo en modo simbólico. Los símbolos pueden especificar los permisos de qué usuarios se van a definir o cambiar, la operación que se va a realizar y los permisos que se están asignando o cambiando.

Tabla 6-5 Establecimiento de permisos de archivo en modo simbólico

Símbolo	Función	Descripción
`u`	`who`	Usuario (propietario)
`g`	`who`	Grupo
`o`	`who`	Otros
`a`	`who`	Todos
`=`	`operator`	Asignación
`+`	`operator`	Adición
`-`	`operator`	Eliminación
`r`	`permissions`	Lectura
`w`	`permissions`	Escritura
`x`	`permissions`	Ejecución
`l`	`permissions`	Bloqueo obligatorio, bit `setgid` está activado, bit de ejecución de grupo está desactivado
`s`	`permissions`	Bit `setuid` o `setgid` está activado
`t`	`permissions`	Bit de permanencia está activado, bit de ejecución para otros está activado

Las designaciones who operator permissions en la columna de función especifican los símbolos que cambian los permisos en el archivo o directorio.

who: Especifica los permisos de qué usuarios se van a cambiar.
operator: Especifica la operación que se va a realizar.
permissions: Especifica qué permisos se van a cambiar.

Puede definir permisos especiales en un archivo en modo absoluto o modo simbólico. No obstante, debe utilizar el modo simbólico para definir o eliminar permisos setuid en un directorio. En el modo absoluto, los permisos especiales se establecen agregando un nuevo valor octal a la izquierda del triplo de permiso. En la siguiente tabla, se muestran los valores octales para definir permisos especiales en un archivo.

Tabla 6-6 Establecimiento de permisos de archivo especiales en modo absoluto

Valor octal	Permisos de archivo especiales
`1`	Bit de permanencia
`2`	`setgid`
`4`	`setuid`

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad