Un sistema operativo recién instalado es siembre inseguro. Normalmente tiene cierto número de vulnerabilidades que se originan de:

• La edad del sistema: Un sistema viejo es potencialmente más inseguro
• Los servicios que provee
• Inclusión de aplicaciones no parcheadas
• Políticas por defecto donde la seguridad no es la meta principal.

Proceso de configurar el sistema operativo para que sea lo más seguro posible. Implica:

• Desinstalar cosas
• Deshabilitar servicios
• Restringir privilegios de aplicaciones y usuarios
• Cambiar políticas por defecto del sistema

• Se busca que el sistema sea lo más seguro posible
• Se busca minimizar el riesgo de que el sistema y la información que contiene sean compormetidos

Para lograr esto se debe:

• Identificar posibles amenazas y vulnerabilidades
• Tener muchas líneas de defensa
• Aplicar siempre el principio del mínimo privilegio

Para un sistema de información las amenazas pueden venir de:

• Mal funcionamiento de una aplicación
• Usuarios mal preparados
• Usuarios hostiles

Si se explota una vulnerabilidad de nuestro sistema es posible que: Nuestro sistema deje de rendir como debe La información de nuestro sistema es destruida o filtrada

El software en un sistema fortificado debe ser fiable y seguro que hace lo que tiene que hacer y lo hace bien:

• Un software fiable es aquel que hace correctamente lo que tiene que hacer
• Un software seguro es el que hace SOLO lo que tiene que hacer y nada más.

Tenemos 2 principales principios de seguridad:

Tenemos que asumir que todas las medidas de seguridad implementadas van a fallar:

• Se añaden medidas de seguridad en caso de que la anterior falle y así recursivamente
• También se debe saber que medida de seguridad ha fallado.

Cada usuario debe tener los permisos mínimos para hacer la tarea que está haciendo. Generalmente en los sistemas se tienen más privilegios de los necesarios, lo que puede ser un problema de seguridad.

• Se debe suponer que toda medida de seguridad va a fallar
• Cuando una aplicación o usuario es comprometido, la cantidad de daño que puede provocar está limitada por sus privilegios

Se recomienda que las aplicaciones se ejecuten virtualizadas.

• Instalación
• Post instalación: Se hace quitando cosas, deshabilitando servicios, modificando cuentas de usuarios y modificando configuraciones por defecto.
• Mantenimiento: Vigilancia de la máquina, aplicación de parches…

Es una de las partes que más dependen del hardware. En intel coexisten 2 métodos de arranque: BIOS o Legacy y UEFI:

• BIOS:
• UEFI:

ARM utilizaun sistema de Arranque similar a UEFI, mientras que SBCs como raspberry usan BIOS.

1. Se ejecuta el código de la BIOS (Firmware) guardado en una ROM.
   • Se realiza un POST (Power On Self Test)
   • Se hace una prueba de la memoria
2. Tras eso viene el cargador, un programa lo suficientemente simple para ser ejecutado por el firmware y lo suficientemente sofisticado como para cargar el Sistema Operativo. En linux se usa GRUB (Grand Unified Boot Loader).
   • El cargador debe saber donde está el kernel para cargar el sistema operativo.
   • El cargador debe esta en el primer bloque de memoria
   • Es un archivo en un formato especial llamado .EFI en el caso de UEFI (localizados en /boot/efi/EFI).
   • Linux es un sistema operativo modular, por lo que se carga lo que es necesario en el arranque, haciendo que sea muy rápido.
   • En el caso de Linux el cargador debe saber donde están los diferentes módulos del sistema (Directorio /boot para kernel y /lib/modules para los módulos).
   • Los módulos se almacenan en el initrd agrupados (Initial Ram Disk).
   • Con “efibootmgr” se puede modificar el orden de arranque UEFI.
   • Con “efibootmgr -v” se pueden ver los archivos de arranque UEFI.
   • El cargador tiene un archivo de configuración que le dice que sistema operativo tiene que cargar.
3. Arranca el sistema operativo

ls #Para ver las particiones
set root=hd0,msdos3 #Seleccionamos partición
ls / #Vemos que hay en la partición en cuestión
linux /boot/vmlinux-amd64 #Le decimos donde está el kernel a GRUB
initrd /boot/initrd-nombre root=/dev/sda1 #Le decimos donde está Initrd y donde están los ficheros al GRUB
boot

Se le debe poner una contraseña al Firmware para cambiar la configuración (También se puede hacer para cada vez que se arranca, pero esto hace que sea tedioso arrancarlo.) Introduciendo parámetros en GRUB es posible acceder al Root del equipo, lo que es una vulnerabilidad muy grave.

Tenemos dos aproximaciones al uso de discos y particiones en linux:

• Sistema de archivos en particiones: Considerada la aproximación tradicional, el sistema de archivos se crea en cada dispositivo físico. Cada dispositivo físico debe ser montado para ser accesible. Las particiones no pueden ser cambiadas de tamaño fácilmente. Este tipo de sistema puede ser cifrado
• LVM: Sistema de volúmenes lógicos. Es más flexime que la aproximación tradicional ya que se puede añadir espacio dinámicamente. Es más fácil de administrar y aca volúmen lógico puede ser cifrado. No es recomendable para la partición /boot. Para usar esta aproximación en sistemas debian se debe instalar el paquete lvm2
  • Volúmenes Físicos: Son discos duros o particiones configuradas como tales.

• Acceso No Autorizado: Para prevenirlo se puede hacer lo siguiente:
  • Todos los directorios home deben tener el permiso 700 y podemos establecer el umask para que sea 077
  • Los archivos de configuración de diferentes daemons no deben ser legibles.
  • Algunas distros tienen programas que revisan y establecen periódicamente los permisos de los archivos en el sistema de archivos
• Que el sistema de ficheros sea llenado a tope y nadie pueda escribir en el
• Corrupción del sistema de archivos haciéndolo inutilizable
  • Usar un sistema de archivos fiable y probado
  • Mantener la máquina en un ambiente estale.
  • Tener cuidado con los permisos de archivos
• Ganar acceso a archivos maliciosos con privilegios altos.
  • Usar ACL (Listas de Control de Acceso)

blkid /dev/sda4 

Ponemos el nómbre que le queremos dar al grupo y los volúmenes que queremos usar para crear este.

vgcreate GRUPOVOLS /dev/sda4

Primero ponemos el grupo a modificar y después los volúmenes que queramos añadir.

vgextend GRUPOVOLS /dev/sdb1 /devsdb2 /dev/sdb3

vgdisplay

Con -L indicamos el tamaño, después el grupo de volúmenes que vamos a utilizar y finalmente el nombre del volúmen lógico.

lvcreate -L 15G GRUPOVOLS VOLUMILLO

La ubicación resultante está en: /dev/GRUPOVOLS/VOLUMILLO