Puedes hacer todo lo que indicamos simplemente usando un sistema Linux y algunos comandos sencillos, sin embargo, Jailkit simplifica mucho la tarea y la automatiza. Según la página Web del proyecto, Jailkit es utilizado actualmente por varias firmas de seguridad muy relevantes (“leading IT security firms”), servidores de Internet de grandes organizaciones, servidores de proveedores de servicios, y muchas pequeñas compañías y usuarios privados que necesitan cvs, sftl, terminales o procesos daemon realmente seguros.

Jailkit viene con unos cuantos comandos que podemos usar, y todo ellos comienzan con “jk_”. Por ejemplo, algunos de estos comandos son: un sistema de inicio que correrá un daemon en un sistema de permisos limitado, una herramienta de terminal chmod, una herramienta para limitar la ejecución de binarios, otra para actualizar o deshacer cambios a nivel general, y muchos otros. Jailkit es gratuito y podéis descargarlo directamente desde su página web oficial.

Un atacante puede aprovecharse de los binarios setuid utilizando scripts en la terminal o aportando información falsa. Los usuarios, normalmente no deberían tener programas setuid instalados, especialmente si los van a usar terceros. Veamos un ejemplo de lo peligrosos que pueden llegar a ser este tipo de permisos si se utilizan mal.

En este ejemplo, un usuario corre un comando desde la consola y ejecuta el archivo /usr/bin/vi /shared/financialdata.txt. A partir de este momento, los permisos del programa Vi y del archivo .txt serán los siguientes:

-rwxr-xr-x 1 root root 1871960 2009-09-21 16:57 /usr/bin/vi
-rw——- 1 root root 3960 2009-09-21 16:57 /shared/financialdata.txt

Como vemos, el usuario de este ejemplo tiene permisos para ejecutar Vi pero no para leer el archivo compartido financialdata.txt. Por tanto, cuando Vi intenta arrancar el documento, aparecerá por pantalla el mensaje “permission denied”. Sin embargo, si activamos setuid en el programa Vi las cosas cambian. Escribimos:

chmod u+s /usr/bin/vi
ls -l /usr/bin/vi

A partir de ahora cuado el usuario del ejemplo emplee Vi tendrá acceso a cualquier documento. ¿Cómo puede ser? El sistema UNIX percibirá al susuario que ejecute Vi como “root” o administrador, así que le dará acceso y permisos absolutos en cualquier lugar de nuestro sistema. Escalofriante, así que tened cuidado con utilizar setuid sin reparar en estos detalles, especialmente si estáis administrando un servidor.

Ayer veíamos en qué consisten los archivos con setuid activado, y cómo podemos visualizar la información de un sólo programa o archivo, identificándolo por la letra “s” en su código de permisos.
Pero puede que esto no nos sea útil si lo que queremos es conocer todos los archivos que tienen este permiso en nuestro servidor o sistema, ya que tendríamos que hacer las comprobaciones programa a programa.

Para obtener la lista completa, tendremos que escribir en la linea de comandos:

# find / -xdev \( -perm -4000 \) -type f -print0 | xargs -0 ls -l

Y veremos aparecer por pantalla información similar a la siguiente:

-r-xr-x 1 root root 27256 2010-01-29 00:02 /bin/fusermount
-rwsr-xr-x 1 root root 78096 2009-10-23 09:58 /bin/mount
-rwsr-xr-x 1 root root 35600 2009-05-12 03:13 /bin/ping
-rwsr-xr-x 1 root root 31368 2009-05-12 03:13 /bin/ping6
-rwsr-xr-x 1 root root 36864 2009-07-31 19:29 /bin/su
-rwsr-xr-x 1 root root 56616 2009-10-23 09:58 /bin/umount

Si queremos eliminar el bit que activa los permisos setuid, escribiremos:

# chmod -s /path/del/archivo

“Setuid” significa “atribuye la ID del usuario en su ejecución”. Si setuid está activado en un archivo, el usuario que arranque el archivo ejecutable tendrá los permisos sobre el individuo o grupo que posee dicho archivo.

Si nos interesa saber si un programa de nuestro sistema o servidor UNIX/Linux tiene setuid activado, tendremos que usar el comando ls -l. Veremos que todos los programas con setuid aparecerán con una S o s en la columna indicadora de los permisos. Haz una prueba y escribe lo siguiente en la terminal:

ls -l /usr/bin/passwd

Otendrás un resultado similar a este:

-rwsr-xr-x 1 root root 42856 2009-07-31 19:29 /usr/bin/passwd

Como puedes ver, esta línea nos indica que el archivo “passwd” tiene activados los permisos de tipo setuid, ya que en el código de permisos “-rwsr” podemos distinguir la s de setuid. Así de sencillo, mañana veremos cómo listar todos los programas de nuestro sistema que tienen permisos setuid, y también veremos los fallos de seguridad de estos permisos.

Con Linux umask podremos determinar los permisos de los archivos nuevos, es decir, siempre que queramos crear nuevos archivos o subir/transferir información de nuestra máquina a otra, unmask definirá los permisos asignados por defecto.

En la mayoría de distribuciones Linux, encontraremos umask en /etc/bashrc o en /etc/profile. Debemos saber que utilizará un código de 4 dígitos para expresar la información sobre permisos. Por ejemplo, el unmask que viene por defecto es el 0002, que dará permisos 775 a los directorios y 664 a los documentos. Para calcular este código, deberemos restar el tipo de permiso que queremos a la numeración que la que viene dada por defecto. Por ejemplo:

777 – 755 = 022

Y la misma regla aplicada a los directorios sería:

666 – 644 = 022

Si te interesa aprender más sobre las funciones de umask, sólo tienes que escribir “man umask” en la consola de comandos.