Instrucciones:

a. Realiza una investigación abarcando los siguientes puntos, para cada uno de los
sistemas operativos siguientes, Mac OSX, Windows 7, Windows Server 2008,
Linux RedHat, OpenBSD:

1. Definición de Roles (usuario, grupo, propietario, etc.)

2. Procedimiento para creación de usuarios y roles
  • Herramientas o interfaces
  • Método(s) de protección de contraseñas
3. Control de políticas de usuario, permisos y restricciones
   • A nivel de sistema operativo
   • A nivel de aplicaciones
   • A nivel de red

b. Elabora un reporte de investigación con la información obtenida previamente.

c. Elabora un cuadro comparativo sobre tipos de ataques comunes conocidos a nivel

de usuario y de red.

d. Finalmente, Concluye argumentando la importancia de diseñar un esquema de

usuarios y roles adecuado para cualquier sistema.

1
Mac OSX

Si el Mac tiene varios usuarios, debería configurar una cuenta para cada persona, de
modo que cada una pueda personalizar ajustes y opciones sin afectar a los demás.
Ocasionalmente, puede dejar que los usuarios inicien sesión como invitados sin acceder a
los archivos y ajustes de los demás usuarios. También puede crear grupos. Solo un
administrador del Mac puede realizar estas tareas.

Añadir un usuario

 Seleccione menú Apple > Preferencias del Sistema y haga clic en “Usuarios y
grupos”.
 Haga clic en el icono del candado para desbloquearlo y, a continuación,
introduzca un nombre y una contraseña de administrador.
 Haga clic en el botón Añadir bajo la lista de usuarios.
 Haga clic en el menú desplegable “Nueva cuenta” y, a continuación, seleccione un
tipo de usuario.

Administrador: Un administrador puede añadir y gestionar otros usuarios, instalar apps y

cambiar ajustes. El nuevo usuario que crea al configurar el Mac por primera vez es un
administrador. El Mac puede tener varios administradores. Puede crear nuevos y convertir
usuarios estándar en administradores. No configure inicio de sesión automático para un
administrador. En caso contrario, cualquier persona podría simplemente reiniciar el Mac y
obtener acceso con privilegios de administrador. Para proteger su Mac, no comparta con
nadie los nombres y contraseñas de administrador.

Estándar: Un administrador se encarga de configurar a los usuarios estándar. Los

usuarios estándar pueden instalar aplicaciones y cambiar sus propios ajustes, pero no
pueden añadir a otros usuarios ni cambiar los ajustes de otros usuarios.

Gestionada con controles parentales: Los usuarios gestionados con controles

parentales sólo pueden acceder a las aplicaciones y a los contenidos que especifique el
administrador que gestione a estos usuarios. El administrador puede restringir los

2
contactos y el acceso a sitios web del usuario y definir límites de tiempo para el uso del
ordenador.

Solo compartir: El usuario de tipo solo compartir puede acceder a los archivos
compartidos de manera remota pero no puede iniciar sesión en el ordenador ni realizar
cambios en los ajustes del mismo. Para dar al usuario permiso para acceder a sus
archivos compartidos o a su pantalla, puede ser necesario cambiar ajustes en los paneles
“Compartir archivos”, “Compartir pantalla” o “Gestión remota” de las preferencias de
Compartir. Para obtener más información, consulte Usar “Compartir archivos” para
compartir archivos y Visión general de compartir pantalla.

Para obtener más información sobre las opciones para cada tipo de usuario, haga clic en
el botón Ayuda de la esquina inferior izquierda del cuadro de diálogo.

1. Introduzca un nombre completo para el nuevo usuario. Se generará un nombre de

cuenta automáticamente. Para utilizar otro nombre de cuenta, introdúzcalo ahora (no
podrá cambiarlo más tarde).

2. Introduzca una contraseña para el usuario y vuelva a introducirla para verificación.

Introduzca una pista de contraseña para ayudar al usuario a recordar su contraseña.

3. Haga clic en “Crear usuario”.

4. Dependiendo del tipo de usuario que haya creado, puede también realizar una de las
siguientes operaciones:

Para un administrador, seleccione “Permitir al usuario administrar este ordenador”.

 Para un niño u otro usuario gestionado, seleccione “Activar controles parentales”.

Haga clic en “Abrir controles parentales” y configure las restricciones para el usuario. Para
obtener más información, consulte Configurar los controles parentales.

 Utilice el panel de preferencias Compartir para especificar si el usuario puede

compartir sus archivos y compartir su pantalla.

Si el Mac tiene Touch ID, un usuario nuevo puede añadir una huella después de iniciar
sesión en el Mac. De este modo, puede utilizar Touch ID para desbloquear el Mac e ítems
protegidos por contraseña, y también para comprar ítems en iTunes Store, App Store y
iBooks Store utilizando su ID de Apple. Para obtener más información, consulte Usar
Touch ID en el Mac.
3
Crear un grupo

 Al pertenecer a un grupo, varios usuarios pueden disfrutar de los mismos privilegios de
acceso. Por ejemplo, puede otorgar a un grupo privilegios de acceso específicos para una
carpeta o un archivo, de modo que todos los miembros del grupo tengan acceso. Además,
puede asignar a un grupo privilegios de acceso específicos para cada una de sus
carpetas compartidas.

Un grupo permite que varios usuarios tengan los mismos privilegios de acceso. Por ejemplo,
puedes otorgar a un grupo privilegios de acceso específicos para una carpeta o un archivo, de
modo que todos los miembros del grupo tengan dicho acceso. También puedes asignar
privilegios de acceso específicos a un grupo para cada una de tus carpetas compartidas.

1. En tu Mac, selecciona menú Apple   > Preferencias del Sistema y elige “Usuarios y
grupos”.

Si el candado en la parte inferior izquierda está bloqueado  , haz clic en él

para desbloquear el panel de preferencias.

2. Haz clic en el botón Agregar   debajo de la lista de usuarios.

3. Haz clic en el menú desplegable “Cuenta nueva” y selecciona un Grupo.
4. Asigna un nombre al grupo y haz clic en “Crear grupo”.
5. Selecciona cada uno de los usuarios y los grupos que quieres agregar al nuevo grupo.
Usa el panel de preferencias Compartir para especificar si los miembros de un grupo
pueden compartir tus archivos y compartir tu pantalla.

Convertir un usuario estándar en administrador

4
1. En tu Mac, selecciona menú Apple   > Preferencias del Sistema y elige “Usuarios y
grupos”.

Si el candado en la parte inferior izquierda está bloqueado  , haz clic en él

para desbloquear el panel de preferencias.

2. Selecciona un usuario estándar o administrado en la lista de usuarios y selecciona

“Permitir al usuario administrar esta computadora”.

Permitir que los usuarios ocasionales inicien sesión como invitados

Puedes permitir que otras personas utilicen tu Mac temporalmente como usuarios invitados sin
agregarlos como usuarios individuales.

 Los invitados no necesitan una contraseña para iniciar sesión.

 Los invitados no pueden cambiar las configuraciones del usuario o computadora.
 Los invitados tampoco pueden iniciar sesión de forma remota cuando la opción de sesión
remota está activada en el panel de preferencias Compartir.

Los archivos creados por un invitado se almacenan en una carpeta temporal, pero esta
carpeta y su contenido se eliminan cuando el usuario cierra la sesión.

El acceso como invitado funciona con la app Buscar para ayudarte a encontrar tu Mac si la
pierdes. Puedes localizar tu Mac si alguien la encuentra, inicia sesión como invitado y después
utiliza Safari para acceder a Internet. Consulta Configurar la app Encontrar para localizar una
Mac perdida.

Nota: si FileVault está activado, los usuarios invitados pueden acceder a Safari, pero no
pueden acceder a tus discos encriptados o crear archivos.

1. En tu Mac, selecciona menú Apple   > Preferencias del Sistema y elige “Usuarios y
grupos”.

Si el candado en la parte inferior izquierda está bloqueado  , haz clic en él

para desbloquear el panel de preferencias.

2. Selecciona “Usuario invitado” en la lista de usuarios.

5
3. Selecciona “Permitir a los invitados conectarte a esta computadora”.
4. Si quieres, puedes seleccionar “Limitar sitios web para adultos” para evitar que los
invitados accedan a sitios web para adultos.
5. Para permitir que los usuarios invitados utilicen tus carpetas compartidas desde otra
computadora de la red, selecciona “Permitir a los invitados conectarse a las carpetas
compartidas”.

Personalizar la forma de iniciar sesión

Si eres administrador, puedes especificar el aspecto de la pantalla de inicio de sesión para
todos los demás usuarios.

1. En tu Mac, selecciona menú Apple   > Preferencias del Sistema, haz clic en “Usuarios
y grupos” y selecciona Opciones de inicio.

Si el candado en la parte inferior izquierda está bloqueado  , haz clic en él

para desbloquear el panel de preferencias.

2. Haz clic en el menú desplegable “Inicio de sesión automático” luego selecciona un usuario
o selecciona Desactivar.

Si seleccionas un usuario, entonces cuando inicie la Mac, ese usuario inicia sesión
automáticamente. Si seleccionas Desactivar, entonces durante el arranque la Mac abre
una ventana de inicio de sesión que muestra todos los usuarios. El inicio de sesión
automático se aplica la próxima vez que reinicies la Mac.

Nota: el inicio de sesión automático permite que cualquier persona acceda a la Mac
simplemente reiniciándola. Si el inicio de sesión automático está activado, asegúrate de
que la Mac no inicia sesión automáticamente como administrador. Cuando FileVault está
activado, el inicio de sesión automático está desactivado.

3. Selecciona las opciones que quieres. Si tienes alguna duda, haz clic en el botón

Ayuda   para obtener información detallada.

6
Para dar a nuevos usuarios permiso para acceder a tus archivos compartidos o a tu
pantalla, puede que sea necesario cambiar configuraciones en “Compartir archivos”,
“Compartir pantalla” o “Administración remota” en el panel de preferencias Compartir.
Consulta Configurar compartir archivos y Compartir la pantalla de otra Mac.

Para abrir el panel de preferencias Compartir, selecciona menú Apple   > Preferencias
del Sistema y haz clic en Compartir.

Windows 7

Empezando por los privilegios

Un aspecto muy importante en este Sistema Operativo es el de los permisos en los
perfiles. Como en Linux está el súper usuario root, aquí existe la posibilidad de contar
con distintas sesiones de menor cantidad de privilegios; en Windows estas se pueden
crear y establecer permisos para lo que cada uno necesita usar. Esto permite dejar el
usuario Administrador solo para fines de administración del equipo como instalación de
aplicaciones o actualizaciones, entre otros.

Para crear un nuevo perfil, se debe ingresar al Panel de Control y allí en el ícono “Cuentas
de usuarios”. Una vez dentro se debe acceder a Administrar cuentas y desde ahí se podrá
crear una. A continuación, veremos un ejemplo con una captura de pantalla:

Sin embargo, existe otra alternativa, la cual usaremos para administrar no solo usuarios,
sino también grupos. Puede crearse desde el menú Administrar, al cual se accede

7
mediante clic con el botón derecho sobre el ícono “Mi PC” o “Equipo” como se muestra en
la siguiente captura:

Una vez dentro del menú solo basta ir a la carpeta de usuarios para crear uno nuevo. En

la siguiente captura veremos cómo hacerlo:

Tal como vemos en el ejemplo, una vez dentro de la carpeta Usuarios (paso 1) se ven los
perfiles creados en dicho sistema. Para crear el nuevo, solo basta hacer clic con el botón
derecho y seleccionar la primera opción cómo se muestra en el paso 2.
Un punto a remarcar es que en el ejemplo se muestra el Administrador
deshabilitado (lo indica el símbolo de la flecha apuntando hacia abajo). En este caso
particular el primer perfil creado es llamado Labo, y cuenta con permisos de
administrador.

Es muy importante habilitar el Administrador antes de quitar permisos, ya que, una

vez hechos los cambios, de requerir permisos de este tipo, simplemente no se tendrán.
Por eso es recomendable habilitarlo y definir una contraseña fuerte y robusta. Para

8
habilitar esta cuenta Administrador, basta con acceder al mismo y desmarcar “La cuenta
está deshabilitada” como se muestra a continuación:

Una vez que se accede a crear el nuevo usuario, se muestra una ventana como vemos a

continuación:

Aquí se definen el nombre con el cual se iniciará la sesión (Usuario), junto con su
respectiva contraseña de inicio de sesión, en conjunto con otras opciones para activar.
Crear diferentes sesiones permite crear grupos y administrarlos a todos por igual,
facilitando la tarea como veremos un poco más adelante.

Trasladando los permisos a las carpetas

Una vez creadas las respectivas sesiones para cada persona que usará la computadora,
como Administrador, se pueden definir los permisos en diferentes directorios para tener (o
denegar) acceso de escritura o lectura. En esta parte veremos cómo restringir a los
invitados, para que no puedan crear ni modificar archivos en un determinado directorio
dentro del disco C (raíz).

9
 Para esto se debe hacer clic con el botón derecho en el directorio a modificar los
permisos, en este caso lo haremos con la carpeta llamada “Carpeta Prueba” dentro disco
C. Una vez desplegado el menú, debe accederse a Propiedades tal como lo muestra la
siguiente captura de pantalla:

Dentro del menú de propiedades deben seguirse algunos pasos, los cuales mostraremos
con una captura de pantalla a continuación para su mejor comprensión:

1. En primer lugar, se debe acceder a la solapa “Seguridad”

2. El segundo paso es marcar el grupo a restringir

10
3. Una vez seleccionado el grupo, se debe hacer clic en el botón “Editar…” el cual abrirá una
nueva ventana donde permitirá editar los permisos
4. Esta nueva ventana muestra los que posee este conjunto de usuarios en este directorio,
donde también se puede permitir o denegar permisos. En este caso, para el ejemplo,
decidimos denegar todos los permisos para que los invitados de este grupo no tengan
acceso.
De esta forma, al intentar crear una carpeta dentro del disco C, esto es denegado por
políticas de permisos como vemos a continuación:

Puede verse que el usuario creado al principio ya no cuenta con permisos para acceder
en el directorio creado por el Administrador en la raíz (disco C).

Permisos y políticas en grupos de usuarios

De la misma forma que vimos cómo crear usuarios al principio, se pueden crear los
grupos para incluirlos y administrarlos. En el hipotético caso de que varias personas
usen diferentes perfiles para acceder al ordenador y usar sus aplicaciones, esto puede
restringirse mediante políticas al grupo asociado. Para hacer esto es necesario ingresar
a:
Panel de control > Todos los elementos de Panel de control > Herramientas
administrativas > Directivas de Seguridad Local
Para este ejemplo crearemos una regla para denegar la ejecución de todas las
aplicaciones a los usuarios dentro del grupo “HogarProtegido”, dentro del cual hemos
puesto a todos excepto a Administrador. Basta con hacer clic con el botón derecho
para crear una nueva regla, como en la captura de pantalla a continuación:

11
El primer paso en esta instancia es acceder a “Reglas ejecutables” (número 1); en el
panel derecho se crea la regla (número 2) y luego se puede acceder a ella para ver su
configuración (número 3). Aquí se puede ver el nombre que la identifica. La acción de la
misma es “Denegar”, en este caso, la ejecución de aplicaciones. Por último, vemos a qué
grupo se aplica esta política (grupo local Labo-PC\HogarProtegido). Cabe destacar que
también pueden añadirse excepciones, como por ejemplo permitir usar el navegador y
aplicaciones ofimáticas.
Una vez realizado esto se debe acceder a la carpeta “Niveles de seguridad”, en la cual se
preestablecerá automáticamente la configuración de seguridad:

En el panel derecho basta con posicionarse sobre el nivel deseado y hacer clic derecho
para establecerlo como predeterminado. En este caso predeterminamos el nivel “No
permitido” para ver su comportamiento.

12
Después habrá que posicionarse sobre el directorio “Directivas de restricción de software”
como se marca con el número 1. En segundo lugar, sobre la ventana derecha hacer doble
clic en “Cumplimiento” (numero 2) donde aparecerá una ventana como la siguiente:

Dentro de la ventana marcada con el número 3, pueden usarse configuraciones como la

de aplicar directivas de restricción a todos los usuarios excepto a los administradores
locales, entre otras que pueden apreciarse.
Una vez aplicadas estas reglas, cualquiera de los perfiles pertenecientes a este grupo
(HogarProtegido), al intentar ejecutar cualquier aplicación verá un mensaje como el
siguiente:

Como puede verse, gracias a la política establecida se evitó la ejecución del navegador.

13
Windows Server 2008
Introducción
Un servidor puede realizar diferentes tipos de funciones, de forma individual o varias
simultáneamente. Estas funciones reciben el nombre de roles. Además, pueden incluir
diferentes servicios de rol o características adicionales que les complementen.

Roles
Un rol de servidor es un conjunto de programas de software que, una vez que se instalan
y configuran correctamente, permiten a un equipo realizar una función específica para
varios usuarios u otros equipos de una red. En términos generales, los roles comparten
las siguientes características.

Describen la función, la finalidad o el uso principal de un equipo. Un equipo en concreto

puede estar dedicado a desempeñar un solo rol que se use intensamente en la empresa o
puede desempeñar varios roles si cada uno de ellos se usa con menos intensidad.

Proporcionan a los usuarios de una organización acceso a los recursos administrados por
otros equipos, como sitios web, impresoras o archivos almacenados en distintos equipos.

Suelen incluir sus propias bases de datos, que pueden poner en cola las solicitudes de
usuarios o equipos, o pueden registrar información relacionada con el rol acerca de los
usuarios y equipos de la red. Por ejemplo, Servicios de dominio de Active Directory
incluye una base de datos para almacenar los nombres y las relaciones jerárquicas de
todos los equipos de una red.

Tan pronto como se han instalado y configurado correctamente, los roles funcionan

14
automáticamente. Esto permite a los equipos donde están instalados realizar las tareas
necesarias con un nivel de supervisión o comandos de usuario limitados.

Servicios de Rol
Los servicios de rol son programas de software que proporcionan funcionalidad de un rol.
Al instalar un rol, puede elegir los servicios de rol que el rol proporcionará a otros usuarios
y equipos de la empresa. Algunos roles, como Servidor DNS, tienen una sola finalidad y,
por lo tanto, no tienen servicios de rol disponibles. Otros roles, como Servicios de
Escritorio remoto, tienen varios servicios de rol que pueden instalarse, en función de las
necesidades de los equipos remotos de la empresa.

Un rol puede considerarse como una agrupación de servicios de rol complementarios y

estrechamente relacionados, para los cuales, en la mayoría de los casos, la instalación
del rol implica la instalación de uno o varios de sus servicios de rol.

Características
Las características son programas de software que, aunque no forman parte directamente
de los roles, pueden complementar o aumentar su funcionalidad, o mejorar la
funcionalidad del servidor, independientemente de los roles que estén instalados. Por
ejemplo, la característica Clúster de conmutación por error aumenta la funcionalidad de
otros roles, como Servicios de archivo y Servidor DHCP, ya que permite a estos roles
unirse a clústeres de servidores para obtener una mayor redundancia y rendimiento.
Cliente Telnet es otra característica que le permite comunicarse de forma remota con un
servidor telnet a través de una conexión red, una funcionalidad que mejora las opciones
de comunicación del servidor.

Servicios de Certificado de Active Directory (AD CS)

Proporciona las funciones para emitir y revocar certificados digitales para usuarios,
equipos y servidores. Incluye los servicios Entidad de certificación, Inscripción Web de
entidad de certificación, Servicio de respuesta en línea y Protocolo de inscripción de
certificados simple.

Servicios de Dominio de Active Directory (AD DS)

Ofrece las funciones para almacenar información sobre usuarios, grupos, equipos y
objetos de la red. Los controladores de dominio proporcionan acceso a recursos para los
que tengan permisos necesarios.

15
Servicios de Federación de Active Directory (AD FS)
Complementa las características de autenticación y gestión de acceso de AD DS,
extendiéndolas a la Web. Incluye los servicios Servicio de federación, Proxy de Servicio
de federación, Agente Web de AD FS y los subservicios Agente para notificaciones y
Agente basado en tokens de Windows.

Servicios de Directorio Ligero de Active Directory (AD LDS)

Proporciona un almacén de datos para aplicaciones compatibles con el directorio que no
necesitan ni AD DS ni ser instaladas en un controlador de dominio.

Active Directory Rights Management Services (AD RMS)

Proporciona acceso controlador a mensajes de correo electrónico, documentos, páginas
Web de la intranet y otros contenidos protegidos. Incluye los servicios Servidor de Active
Directory Rights Management Services y Compatibilidad con la federación de identidades.

Servidor de Aplicaciones
Permite que un servidor hospede aplicaciones distribuidas creadas con ASP.NET,
servicios empresariales y .NET Framework. Incluye más de una docena de servicios de
función.

Servidor DHCP
Proporciona un control centralizado acerca del direccionamiento IP. Pueden asignar de
forma dinámica direcciones IP así como opciones de configuración básicas a los equipos
de una red.

Servidor DNS
Es un sistema de resolución de nombres que convierte los nombres de los equipos en
direcciones IP. Son esenciales para el funcionamiento de la resolución de nombres en
dominios Active Directory.

Servicios de Archivos
Son la base para la gestión de los archivos y para compartirlos y replicarlos a través de la
red. Incluye los servicios y subservicios Servidor de archivos, Sistema de archivos
distribuido, Espacios de nombres DFS, Replicación DFS, Administrador de recursos del
servidor de archivos, Servicios para Network File System, Servicio Búsqueda de
Windows, Servicios de archivo de Windows Server 2003, Servicio de replicación de
archivos y Servicios de Index Server.

16
Servidor de Fax
Ofrece control centralizado sobre el envío y la recepción de faxes en la empresa sirviendo
de pasarela para los faxes y gestiona los recursos asociados, y los dispositivos de fax del
servidor o de la red.

Servicios de Acceso y Directivas de Redes (NPAS)

Proporciona los servicios para la gestión del enrutamiento y el acceso remoto a redes.
Incluye los servicios Servidor de directivas de redes, Servicios de enrutamiento y acceso
remoto, Servicio de acceso remoto, Enrutamiento, Autoridad de registro de mantenimiento
y Protocolo de autorización de credenciales de host.

Terminal Services
Ofrece los servicios para la ejecución de aplicaciones basadas en Windows, instaladas en
un servidor remoto. Incluye los servicios Terminal Server, Administrador de licencias TS,
Agente de sesiones TS, Puerta de enlace TS y Acceso Web de TS.

Servicios Universal Description, Discovery, And Integration (UDDI)

Ofrece la capacidad de compartir información sobre los servicios Web en el interior de una
organización y entre organizaciones. Incluye los servicios Base de datos de Servicios
UDDI y Aplicación Web de Servicios UDDI.

Servidor Web (IIS)
Para hospedar sitios y aplicaciones Web. El servidor Web podrá configurarlo utilizando los
módulos de IIS y las herramientas de administración. Incluye más de una docena de
servicios de función.

Servicios de Impresión
Proporcionan las bases para la gestión de impresoras y controladores de impresión.
Incluye los servicios Servidor de impresión, Servicio LPD e Impresión en Internet.

Servicios de Implementación de Windows (WDS)

Proporciona los servicios para instalar equipos con Windows dentro de la empresa.
Incluye los servicios Servidor de implementación y Servidor de transporte.

Windows Sharepoint Services

Conecta personas e información para permitir el trabajo en equipo. Incluye aplicaciones
administradas con las que se ofrecen las funciones de colaboración necesarias.

17
Linux RedHat

Opciones de ajuste del rendimiento en la consola web

Red Hat Enterprise Linux 8 proporciona varios perfiles de rendimiento que optimizan el
sistema para las siguientes tareas:

 Sistemas que utilizan el escritorio

 Rendimiento de la producción

 Rendimiento de la latencia

 Rendimiento de la red

 Bajo consumo de energía

 Máquinas virtuales

El servicio tuned optimiza las opciones del sistema para ajustarse al perfil seleccionado.

En la consola web, puedes establecer qué perfil de rendimiento utiliza tu sistema.

ESTABLECER UN PERFIL DE RENDIMIENTO EN LA CONSOLA WEB

Este procedimiento utiliza la consola web para optimizar el rendimiento del sistema para
una tarea seleccionada.

Requisitos previos

 La consola web está instalada y accesible.

Para más detalles, véase Instalación de la consola web.

Procedimiento

1. Inicie sesión en la consola web de RHEL 8.

Para más detalles, consulte Iniciar sesión en la consola web.

18
 2. Haga clic en Overview.

3. En el campo Performance Profile, haga clic en el perfil de rendimiento actual.

4. En el cuadro de diálogo Change Performance Profile, cambie el perfil si es

necesario.

5. Haga clic en Change Profile.

Pasos de verificación

 La pestaña Overview muestra ahora el perfil de rendimiento seleccionado.

19
Introducción a los roles del sistema RHEL

RHEL System Roles es una colección de roles y módulos de Ansible. RHEL System Roles
proporciona una interfaz de configuración para gestionar de forma remota varios sistemas
RHEL. La interfaz permite gestionar las configuraciones del sistema en varias versiones
de RHEL, así como adoptar nuevas versiones principales.

En Red Hat Enterprise Linux 8, la interfaz consta actualmente de los siguientes roles:

 kdump

 red

 selinux

 almacenamiento

 certificado

 kernel_settings

 registro

 métrica

 nbde_client y nbde_server

 timesync

 tlog

Todos estos roles son proporcionados por el paquete rhel-system-roles disponible en el

repositorio AppStream.

20
Terminología de los roles del sistema

Libro de jugadas de Ansible

Los playbooks son el lenguaje de configuración, despliegue y orquestación de

Ansible. Pueden describir una política que desea que sus sistemas remotos
apliquen, o un conjunto de pasos en un proceso general de TI.

Nodo de control

Cualquier máquina con Ansible instalado. Puedes ejecutar comandos y playbooks,

invocando /usr/bin/ansible o /usr/bin/ansible-playbook, desde cualquier nodo de
control. Puedes usar cualquier ordenador que tenga Python instalado como nodo
de control: ordenadores portátiles, escritorios compartidos y servidores pueden
ejecutar Ansible. Sin embargo, no puedes usar una máquina Windows como nodo
de control. Puedes tener varios nodos de control.

Inventario

Una lista de nodos gestionados. Un archivo de inventario también se llama a veces

"archivo de host". Su inventario puede especificar información como la dirección IP
para cada nodo gestionado. Un inventario también puede organizar los nodos
gestionados, creando y anidando grupos para facilitar el escalado. Para obtener
más información sobre el inventario, consulte la sección Trabajar con el inventario.

Nodos gestionados

Los dispositivos de red, servidores, o ambos, que gestionas con Ansible. Los
nodos gestionados también se denominan a veces "hosts". Ansible no se instala
en los nodos gestionados.

Requisitos previos

 El paquete rhel-system-roles está instalado en el sistema que se quiere utilizar

como nodo de control:

# yum install rhel-system-roles

21
  El repositorio del motor Ansible está habilitado y el paquete ansible está instalado
en el sistema que desea utilizar como nodo de control. Necesita el
paquete ansible para ejecutar playbooks que utilicen RHEL System Roles.
o Si no dispone de una suscripción a Red Hat Ansible Engine, puede utilizar
una versión soportada limitada de Red Hat Ansible Engine proporcionada
con su suscripción a Red Hat Enterprise Linux. En este caso, siga estos
pasos:
1. Habilite el repositorio del motor Ansible de RHEL:
2. # subscription-manager refresh

# subscription-manager repos --enable ansible-2-for-rhel-8-

x86_64-rpms

3. Instale el motor Ansible:

# yum install ansible

o Si tiene una suscripción a Red Hat Ansible Engine, siga el procedimiento

descrito en ¿Cómo descargo e instalo Red Hat Ansible Engine?

 Puedes crear un playbook de Ansible.

Los playbooks representan el lenguaje de configuración, despliegue y

orquestación de Ansible. Mediante el uso de playbooks, puedes declarar y
gestionar configuraciones de máquinas remotas, desplegar múltiples máquinas
remotas u orquestar pasos de cualquier proceso manual ordenado.

Un playbook es una lista de uno o más plays. Cada play puede incluir variables,

tareas o roles de Ansible.

Los libros de jugadas son legibles para las personas y se expresan en el

formato YAML.

Para más información sobre los playbooks, consulte la documentación de Ansible.

Procedimiento

22
1. Cree un playbook de Ansible que incluya el rol requerido.

El siguiente ejemplo muestra cómo utilizar los roles a través de la

opción roles: para un determinado play:

---

- hosts: webservers

roles:

- rhel-system-roles.network

- rhel-system-roles.timesync

Para más información sobre el uso de roles en los playbooks, consulte la

documentación de Ansible.

Consulte los ejemplos de Ansible para ver ejemplos de playbooks.

NOTA

Cada rol incluye un archivo README, que documenta cómo usar el rol y los
valores de los parámetros soportados. También puede encontrar un ejemplo de
libro de jugadas para un rol en particular en el directorio de documentación del rol.
Este directorio de documentación se proporciona por defecto con el paquete rhel-
system-roles, y se puede encontrar en la siguiente ubicación:

/usr/share/doc/rhel-system-roles/SUBSYSTEM/

Sustituya SUBSYSTEM por el nombre del rol requerido,

como selinux, kdump, network, timesync, o storage.
2. Verifique la sintaxis del libro de jugadas:

# ansible-playbook --syntax-check name.of.the.playbook

23
 El comando ansible-playbook ofrece una opción --syntax-check que puede utilizar
para verificar la sintaxis de un libro de jugadas.
3. Ejecute el libro de jugadas en los hosts seleccionados ejecutando el
comando ansible-playbook:

# ansible-playbook -i name.of.the.inventory name.of.the.playbook

Un inventario es una lista de sistemas con los que trabaja Ansible. Para más
información sobre cómo crear un inventario y cómo trabajar con él, consulte la
documentación de Ansible.

Si no tiene un inventario, puede crearlo en el momento de ejecutar ansible-

playbook:

Si sólo tiene un host de destino contra el que desea ejecutar el libro de jugadas,
utilice:

# ansible-playbook -i host1, name.of.the.playbook

Si tiene varios hosts de destino contra los que desea ejecutar el libro de jugadas,
utilice:

# ansible-playbook -i host1,host2,....,hostn name.of.the.playbook

OpenBSD

Un sistema OpenBSD se administra desde la cuenta root o bien con ayuda del

programa sudo.

Desde las diversas cuentas del sistema que estén en el grupo wheel es posible pasar a la
cuenta root con el comando:

$ su -

Tipicamente al pasar a la cuenta root el prompt cambiará a #.

24
Si sudo se configura para permitir su utilización por parte de usuarios que estén en el
grupo wheel, podrán ejecutarse comandos como si se tratara de la
cuenta root precediéndolos con sudo. Por ejemplo, para listar el directorio del
usuario root:

$ sudo ls /root

Aviso

Toda acción que realice con el programa sudo, así como cambios de un usuario a
otro, quedarán registradas en la bitácora /var/log/secure

Manejo de usuarios

Entre las labores del administrador está agregar, eliminar y modificar información de
usuarios del sistema.

El administrador puede agregar usuarios con el comando adduser. Su uso típico se

esboza a continuación

# adduser
...
Enter username []: juan
Enter full name []: Juan Valdez
Enter shell csh ksh nologin sh [ksh]:
Uid [1003]:
Login group juan [juan]:
Login group is ``juan''. Invite juan into other groups: guest no
[no]: wheel
Login class auth-defaults auth-ftp-defaults daemon default staff
[default]: staff
Enter password []:
Enter password again []:

Name: juan
Password: ****
25
Fullname: Juan Valdez
Uid: 1003
Gid: 1003 (juan)
Groups: juan wheel
Login Class: staff
HOME: /home/juan
Shell: /bin/ksh
OK? (y/n) [y]:

Note que todo usuario del sistema tiene:

Una identificación

juan en el ejemplo recién presentado

Un UID

Se trata de un número que lo identifica (1003 en el ejemplo)

Un GID

O número que identifica al grupo principal al que pertenece el usuario (1003 en el

ejemplo).

Un intérprete de comandos

Que será el que tendrá el usuario al iniciar nuevas sesiones (en el ejemplo
es /bin/ksh).

Una clase de login

Que establecerá parámetros para la sesión, por ejemplo, límite en el uso de

memoria y recursos. En el ejemplo es staff, pero para usuarios que no vayan a
administrar el sistema se sugiere default

Eventualmente uno o más grupos secundarios

26
 Cada usuario fuera de su grupo principal puede pertenecer a otros grupos. En este
ejemplo, el usuario pertenecerá además al grupo wheel, lo cual indica que hará
labores administrativas.

Un directorio personal

Cuyo propietario será el usuario y quedará como directorio de trabajo cada vez
que inicie una sesión. En el ejemplo es /home/juan (note que por defecto todos los
directorios de usuarios son subdirectorios de /home).

Para eliminar un usuario y su directorio personal:

userdel -r juan

Es posible modificar información de los usuarios de diversas formas:

 Con el comando vipw que le permitirá modificar directamente el archivo de claves

y usuarios

 Con el comando chfn usuario podrá modificar algunos datos del perfil del usuario.

Bitácoras

Una de las labores típicas de un administrador de un sistema OpenBSD es revisar

bitácoras del sistema en búsqueda de fallas de seguridad. En la mayoría de las veces se
trata de ataques a través de internet, ataques que buscan entre otras cosas: acceder a
nuestras máquinas para sacar información y modificarla, o usar nuestra máquina para que
realice trabajos que el atacante quiere hacer, generalmente maliciosos.

OpenBSD deja un registro muy completo en archivos de /var/log conocidas como

bitácoras. Algunas son:

 authlog: Muestra los accesos de los usuarios permitidos y rechazados

 secure: Muestra los comandos de los administradores sudo

 daemon: Los programas que están corriendo en la máquina

27
Como el sistema hace rotación de bitácoras periódicamente, en el mismo directorio
también se encuentra archivadas algunas bitácoras anteriores, comprimidas (terminan
con nombres como .0.gz).

Estos archivos pueden analizarse con algunas herramientas básicas como:

less

Examinar una archivo. En less la tecla G (mayúscula) lo lleva al final del archivo.

grep

Muestra cadenas en un archivo

find

Busca una cadena en un archivo o directorio

wc

Cuenta palabras/líneas/caracteres en una archivo

dig

Muestra información de un dominio

geoiplookup

Muestra localización de una IP. No es muy precisa

gzip

Descomprime archivos

A continuación, un ejemplo de auditoria de la bitácora auth:

1. Como usuario root (Sección 13, “Labores básicas de administración”) hacer una

copia de las bitácoras de /var/log en un directorio personal y descomprimir
bitácoras comprimidas.
28
2. cd
3. mkdir audita # Crea un directorio para copiar
4. cd audita # Pasa al directorio creado
5. mkdir 30sep2006 # Crear un directorio con la fecha
6. cd 30sep2006 # Pasa al directorio creado
7. cp -rf /var/log/* . # Copia todas las bitácoras (debe ser root)
8. gzip -d *.gz # Descomprime bitácoras comprimidas

9. Revisar la bitácora a fin de determinar puntos críticos:

10. less authlog

buscando líneas como

invalid user test from 211.157.113.89

que revelan intento desde una IP por ingresar como usuario test (que no existe en
el sistema).

11. Para ver las líneas en las que aparece una cadena en especial, una IP por ejemplo
puede usarse:

12. grep "211.157.113.89" authlog

De forma que podemos ver datos importantes relacionados con la IP como fecha y
hora. En el caso de auth la IP corresponde a direcciones desde donde se hacen
intentos de ingreso).

13. Para mostrar cuántas veces está esa IP en ese archivo:

14. grep "211.157.113.89" authlog | wc -l

15. Para determinar en qué archivos de la bitácora hay información de esta IP

16. find . -exec grep -l "211.157.113.89" {} ';'

17. Para determinar ubicación geográfica de una IP y datos sobre el dominio asociado:

29
 18. geoiplookup 211.157.113.89
19. dig -x 211.157.113.89

El primero indica China, el segundo mail.chinacomm.com.cn. Con el segundo ya

podemos buscar información sobre el registro DNS de chinacomm.com.cn:

whois chinacomm.com.cn

donde encontramos una dirección de correo: [email protected]

20. Si se ubica el dominio de la IP de donde proviene un ataque, así como una

dirección de correo, se recomienda enviar un mensaje en inglés a tal dirección y/o
por ejemplo a las cuentas web master y root informando sobre el incidente con un
tema como:

21. Attempt to login at practica.pasosdeJesus.org from your IP on 16.Aug.2006 at

7:10:41

Elabora un cuadro comparativo sobre tipos de ataques comunes

conocidos a nivel de usuario y de red.

30
31
32
33
Tipos de intrusos

Podemos identificar tres (3) tipos de intrusos:

Usuario fraudulento: Hace referencia a un usuario que accede de manera ilegal a

recursos de la organización o que, teniendo los permisos, hace uso indebido de la
información disponible.

Suplantador: Es una persona que no tiene nada que ver con los accesos legales en la
organización pero que logra llegar hasta el nivel de tomar la identidad de un usuario
legitimo para acceder y realizar el daño.

Usuario clandestino: Es una persona que puede tomar el control de auditoria del
sistema de la organización.

 Normalmente el suplantador es una persona externa, el usuario fraudulento es interno y

el usuario clandestino puede ser externo o interno. Los ataques de los intrusos, sin
importar el tipo que sean, pueden ser catalogados como graves o benignos, en el benigno
únicamente acceden para ver lo que hay en la red mientras que en los graves se puede
robar información y/o modificar dentro de la misma.
 
Técnicas de intrusión
Como sabemos la forma común de acceder a un sistema es a través de contraseñas y
esto es a lo que el intruso apunta, adquirir contraseñas usando diferentes técnicas para
así lograr su objetivo de violar los accesos y obtener información. Es recomendable que
nuestro archivo de contraseñas esté protegido con alguna de los siguientes métodos:

 
Cifrado unidireccional: Esta opción almacena únicamente una forma cifrada del
password del usuario así cuando el usuario ingresa su contraseña el sistema la cifra y la
compara con el valor que tiene almacenado y si es idéntica habilita el acceso de lo
contrario lo deniega.

Control de acceso: Con este método el acceso de contraseñas es muy limitado,

solamente a una o unas cuantas cuentas.

Los métodos que usan comúnmente los hackers, según algunos análisis son:

34
  Probar las palabras del diccionario o listas de posibles contraseñas que están
disponibles en páginas de hackers
 Intentar con los números de teléfono de los usuarios o documentos de identificación
 Probar con números de placas de automóviles
 Obtener información personal de los usuarios, entre otras
 
Detección de los intrusos
Como administradores debemos analizar las posibles vulnerabilidades que tiene nuestro
sistema para evitar dolores de cabeza en el futuro, podemos analizar estas fallas con los
siguientes conceptos:

 Si estudiamos la forma como un intruso puede atacar, esta información nos servirá
para reforzar la prevención de la intrusión a nuestro sistema
 Si detectamos el usuario intruso de manera pronta podemos evitar que ésta
persona haga de las suyas en nuestro sistema y así evitar perjuicios.
Como administradores podemos analizar el comportamiento de los usuarios dentro de
nuestra organización y detectar, con mucho análisis, si presenta algún comportamiento
extraño, tal como acceso a través de la intranet a computadores o carpetas que no debe
acceder, modificación de archivos, etc. Una de las herramientas que nos servirá mucho
en el análisis de los intrusos es el registro de auditoria ya que esta nos permite llevar un
control de las actividades realizadas por los usuarios.
 
Podemos usar dos (2) tipos de planes de auditoría:
Registros de auditoría específicos para detección: Podemos implementar dichos
registros para que sólo nos muestre la información requerida por el sistema de detección
de intrusión.
 
Registros nativos de auditoría: Es la herramienta que viene por defecto en los sistemas
operativos y almacena toda la actividad de los usuarios, por ejemplo, el visor de eventos
de Microsoft Windows.
 
Podemos detectar anomalías basándonos en perfiles, es decir en el comportamiento de
los usuarios, para ello podemos echar mano de las siguientes variables:
 Contador: Es un valor que puede incrementarse mas no disminuirse hasta que sea
iniciado por alguna acción

35
  Calibre: Es un número que puede aumentar o disminuir, y mide el valor actual de
una entidad
 Intervalo de tiempo: Hace referencia al periodo de tiempo entre dos
acontecimientos
 Uso de recursos: Implica la cantidad de recursos que se consumen en un
determinado tiempo
 
Existe otro tipo de detección y es la que está basada en reglas, éstas detectan la intrusión
tomando como base los sucesos que ocurren en el sistema y aplica una serie de reglas
definidas para identificar si la actividad es sospechosa o no.
 
Algunos de los ejemplos de estas reglas son:
 

 
Una de las técnicas interesantes para llamar la atención de los intrusos es usar los
honeypot, que simplemente son herramientas de seguridad donde se crean sistemas que
aparentan ser vulnerables o débiles y en los cuales hay información falsa, pero con una
apariencia agradable para el intruso, obviamente a un honeypot no tiene ni tendrá acceso
un usuario legítimo de la organización.
 
Como medida de seguridad para prevenir ataques de intrusos sin lugar a dudas está
la correcta gestión de las contraseñas, sabemos que una contraseña permite:
36
  Brindar o no el acceso a un usuario al sistema
 Brindar los privilegios que le hayan sido asignados al usuario
 Ofrecer políticas de seguridad en la empresa
 
En un estudio realizado por una organización en los Estados Unidos, tomando como base
tres (3) millones de cuentas se llegó a la conclusión de que los usuarios usan, de manera
regular, los siguientes parámetros para sus contraseñas (los cuales no son nada
seguros):
 Nombre de la cuenta
 Números de identificación
 Nombres comunes
 Nombres de lugares
 Diccionario
 Nombres de máquinas
 
Es importante que en nuestro rol como administradores, coordinadores o jefes de IT
eduquemos a los usuarios de nuestra organización para que sepan cómo establecer una
contraseña segura, podemos usar los siguientes métodos:
 Comprobación reactiva de contraseñas
 Comprobación proactiva de contraseñas
 Educación de nuestros usuarios
 Contraseñas generadas por computador
 
Como vemos, entre todos (Administradores y usuarios) podemos hacer frente a cualquier
actividad de los intrusos.
 
Tipos de ataques 
Hijacking: Este tipo de ataque consiste en tomar una sección de un dispositivo para
comunicarse con otro dispositivo, existen dos (2) tipos de hijacking:

 Activo: Es cuando se toma una sección del host y se usa para comprometer el
objetivo
 Pasivo: Sucede cuando se toma una sección del dispositivo y se graba todo el
tráfico entre los dos dispositivos

37
Contamos con herramientas para el hijacking desde páginas como:
 IP-Watcher
 
¿Cómo nos podemos proteger del hijacking? Podemos usar cualquiera de los
siguientes métodos dependiendo del protocolo o de la función, por ejemplo:
 FTP: Usemos sFTP
 Conexión remota: Usemos VPN
 HTTP: Usemos HTTPS
 Telnet o rlogin: usemos OpenSSH o SSH
 IP: Usemos IPsec
 
Ataque a un Servidor Web
Los servidores más comunes para implementar servicios web tenemos Apache e IIS. Los
intrusos o hackers que pretenden atacar estos servidores deben tener conocimientos por
lo menos en tres (3) lenguajes de programación como Html, ASP y PHP. Para cuidar
nuestros servidores web podemos usar herramientas, llamadas Brute Force Attack,
como las siguientes:

 Brutus para Windows

 Hydra para Linux
 NIX para Linux
 
Los ataques más comunes que encontramos a nivel de servidores web son los
siguientes:
 ScriptAttack
 Contraseñas en el mismo código
 Vulnerabilidades en las aplicaciones web
 Validación de nombre de usuarios
 
Como administradores podemos implementar las siguientes prácticas:
 Instalar y/o actualizar el antivirus
 Usar contraseñas complejas
 Cambiar cuentas por defecto
 Eliminar códigos de pruebas
 Actualizar el sistema y service pack
38
  Gestionar y monitorear constantemente los logs del sistema
 
 
Backdoors y Troyanos
Muchos de los troyanos se ejecutan en modo de pruebas para verificar la capacidad de
respuesta de la organización ante un posible ataque, pero no el 100% son de pruebas
internas pero en otras ocasiones son con intenciones malignas por parte de un intruso.

Algunos de los troyanos más comunes son:

 Netbus
 Prorat
 Paradise
 Duckfix
 Netcat
 
Para prevenir los ataques de troyanos es importante que como administradores
realicemos algunas tareas como:
 Instalar y actualizar un antivirus
 Ejecutar y activar el Firewall
 Usar un analizador de troyanos
 Actualizar los parches del sistema
 
Ataque a redes wireless
Nuestras redes Wireless pueden estar propensas a sufrir ataques por parte de algún
intruso, sabemos que las tecnologías modernas de las redes Wireless son la 802.11a,
802.11b, 802.11n y 802.11g, estas van en base a su frecuencia.

Para prevenir ataques a nuestras redes Wireless podemos realizar las siguientes

tareas:
 Evitar usar el SSID en blanco
 Evitar usar el SSID por defecto
 Usar IPsec para mejorar la seguridad en nuestras IPS
 Realizar filtros de MAC para evitar direcciones no requeridas

Algunas de las herramientas usadas para realizar el Wireless hacking son:

39
  Kismet
 GPSMap
 NetStumbler
 AirSnort
 DStumbler
 
Aunque en nuestra empresa no usemos continuamente las redes Wireless es bueno
implementar políticas de seguridad para prevenir ataques a las mismas, sería ideal
realizar lo siguiente (en caso de usar sólo Wireless):
 Deshabilitar el DHCP
 Actualizar los Firmware
 Usar seguridad WPA2 y superiores
 En caso de conexión remota usar VPN
 
Ataques de denegación de servicio (DoS)
Este tipo de ataque tiene como principal objetivo afectar todos los servicios de nuestro
sistema, ya sea deteniéndolos, saturándolos, eliminándolos, etc.

Podemos prevenir un ataque DoS usando las siguientes actividades:

 Usar los servicios que realmente necesitamos
 Deshabilitar la respuesta de ICMP en el Firewall
 Actualizar el sistema operativo
 Actualizar nuestro Firewall con la opción de ataques DoS
 
Algunas de las herramientas que podemos encontrar en la red para ataques DoS son:
 FSM FSMax
 Some Trouble
 Jolt 2
 Blast20
 Panther2
 Crazy Pinger, etc.
 
Password Cracking Tools

40
Otro de los ataques comunes que podemos sufrir en nuestras organizaciones es el ataque
a las contraseñas, como ya mencionamos, en ocasiones los password establecidos no
son lo suficientemente fuertes, razón por la cual quedamos propensos a que un intruso
nos robe la contraseña y pueda acceder a nuestro sistema. Sabemos que la seguridad de
nuestras contraseñas están basadas en:

 Autenticación: Autoriza el acceso al sistema o a las aplicaciones de la empresa

 Autorización: Si la contraseña ingresada es correcta el sistema lo validará y
autorizará el ingreso
 
Los tipos de ataques más comunes que encontramos para robarnos nuestras
contraseñas son:
Ataques por diccionarios: Son listas de palabras establecidas que se sincronizan y se
valida si nuestro password está incluido allí.

Ataque por fuerza bruta: Es uno de los ataques más efectivos ya que contiene letras,
números y caracteres especiales y van formando combinaciones hasta encontrar la clave
correcta

Ataques Híbridos: Es una combinación de las dos (2) anteriores.

Algunas de las herramientas para hacker contraseñas son:

 Pwdump3
 John the Ripper
 Boson GetPass
 Elcomsoft
 
Recordemos que si nuestra contraseña o la de algún usuario de la organización llega a
ser descubierta por un intruso podemos tener problemas serios, por ello es
importante recordar que incluyan la mayoría las siguientes condiciones para
nuestras contraseñas:
 Letras minúsculas
 Letras mayúsculas
 Caracteres especiales
 Números
 Palabras complejas

41
 

Finalmente, Concluye argumentando la importancia de diseñar un

esquema de usuarios y roles adecuado para cualquier sistema.

El control de acceso basado en roles es una función de seguridad para controlar el

acceso de usuarios a tareas que normalmente están restringidas al súper usuario.
Mediante la aplicación de atributos de seguridad a procesos y usuarios, RBAC puede
dividir las capacidades de súper usuario entre varios administradores. La gestión de
derechos de procesos se implementa a través de privilegios. La gestión de derechos de
usuarios se implementa a través de RBAC.

En los sistemas UNIX convencionales, el usuario root, también conocido como

superusuario, es omnipotente. Los programas que se ejecutan como root, o los
programas setuid, son omnipotentes. El usuario root puede leer y escribir en cualquier
archivo, ejecutar todos los programas y enviar señales de terminación a cualquier
proceso. De hecho, cualquier persona que puede convertirse en superusuario puede
modificar el cortafuegos de un sitio, modificar la pista de auditoría, leer registros
confidenciales y apagar toda la red. Un programa setuid usurpado puede realizar
cualquier tarea en el sistema.

El control de acceso basado en roles (RBAC) ofrece una alternativa más segura al modelo
de superusuario del tipo "todo o nada". Con RBAC, puede aplicar una política de
seguridad en un nivel más específico. RBAC utiliza el principio de seguridad del privilegio
mínimo. Privilegio mínimo significa que un usuario dispone exactamente de la cantidad
de privilegios necesaria para realizar un trabajo. Los usuarios comunes tienen privilegios
suficientes para utilizar sus aplicaciones, comprobar el estado de sus trabajos, imprimir
archivos, crear archivos nuevos, etc. Las capacidades que van más allá de las
capacidades de los usuarios comunes se agrupan en perfiles de derechos. Los usuarios
que realizarán trabajos que requieren algunas de las capacidades de superusuario
asumen un rol que incluye el perfil de derechos adecuado.
42
RBAC recopila las capacidades de superusuario en perfiles de derechos. Estos perfiles
de derechos se asignan a cuentas de usuario especiales denominadas roles. Luego, un
usuario puede asumir un rol para realizar un trabajo que requiere algunas de las
capacidades de superusuario. Se incluyen perfiles de derechos predefinidos con el
software Oracle Solaris. Usted crea los roles y asigna los perfiles.

Los perfiles de derechos pueden proporcionar capacidades amplias. Por ejemplo, el perfil
de derechos de administrador principal es equivalente al superusuario. Los perfiles de
derechos también se pueden definir de manera limitada. Por ejemplo, el perfil de derechos
de gestión de cron se encarga de los trabajos at y cron. Al crear roles, puede optar por
crear roles con capacidades amplias o roles con capacidades limitadas, o ambos.

En el modelo RBAC, el superusuario crea uno o más roles. Los roles se basan en perfiles
de derechos. El superusuario luego asigna los roles a los usuarios en los que confía para
realizar las tareas del rol. Los usuarios inician sesión con su nombre de usuario. Después
del inicio de sesión, los usuarios asumen roles que pueden ejecutar comandos
administrativos restringidos y herramientas de la interfaz gráfica de usuario (GUI).

La flexibilidad en la configuración de los roles posibilita una variedad de políticas de

seguridad. Aunque se incluyen pocos roles con Oracle Solaris, es posible configurar
fácilmente tres roles recomendados. Los roles se basan en perfiles de derechos con el
mismo nombre:

 Administrador principal: un rol poderoso que es equivalente al usuario root o

superusuario.
 root: un rol poderoso que es equivalente al usuario root. Sin embargo, este
usuario root no puede iniciar sesión. Un usuario común debe iniciar sesión y, a
continuación, asumir el rol root asignado.
 Administrador del sistema: un rol menos poderoso para la administración que no
está relacionado con la seguridad. Este rol puede gestionar sistemas de archivos,
correo e instalación de software. Sin embargo, este rol no puede definir contraseñas.
 Operador: rol de administrador junior para operaciones como copias de seguridad y
gestión de impresoras.

No es necesario implementar estos tres roles. Los roles representan una función de las
necesidades de seguridad de una organización. Los roles se pueden configurar para
43
administradores con fines especiales en áreas como administración de cortafuegos, redes
o seguridad. Otra estrategia es crear un rol de administrador poderoso único junto con un
rol de usuario avanzado. El rol de usuario avanzado sería para los usuarios que tienen
permiso para corregir partes de sus propios sistemas.

El modelo de super usuario y el modelo RBAC pueden coexistir. La siguiente tabla

resume las gradaciones de super usuario a usuario común restringido que son posibles en
el modelo RBAC. La tabla incluye las acciones administrativas que se pueden supervisar
en ambos modelos.

Modelo de superusuario y modelo RBAC con privilegios

Elementos y conceptos básicos de RBAC

 Autorización: un permiso para que un usuario o un rol realice una clase de acciones
que requieren derechos adicionales. Por ejemplo, la política de seguridad en la
instalación otorga a los usuarios comunes la autorización solaris.device.cdrw. Esta
autorización permite a los usuarios leer y escribir en un dispositivo de CD-ROM. Para
obtener una lista de autorizaciones, consulte el archivo /etc/security/auth_attr.
 Privilegio: un derecho perfectamente definido que se puede otorgar a un comando,
un usuario, un rol o un sistema. Los privilegios permiten que un proceso se realice
correctamente. Por ejemplo, el privilegio proc_exec permite a un proceso
llamar execve(). Los usuarios comunes tienen privilegios básicos. Para ver sus
privilegios básicos, ejecute el comando ppriv -vl basic.
 Atributos de seguridad: un atributo que permite a un proceso efectuar una
operación. En un entorno UNIX típico, un atributo de seguridad permite a un proceso

44
 efectuar una operación que, de lo contrario, está prohibida para los usuarios
comunes. Por ejemplo, los programas setuid y setgid tienen atributos de seguridad.
En el modelo RBAC, las operaciones que los usuarios comunes realizan pueden
requerir atributos de seguridad. Además de los programas setuid y setgid, las
autorizaciones y los privilegios también son atributos de seguridad en el modelo
RBAC. Por ejemplo, un usuario con la autorización solaris.device.allocate puede
asignar un dispositivo para uso exclusivo. Un proceso con el privilegio sys_time puede
manipular la hora del sistema.
 Aplicación con privilegios: una aplicación o un comando que puede anular los
controles del sistema mediante la comprobación de atributos de seguridad. En
un entorno UNIX típico y en el modelo RBAC, los programas que
usan setuid y setgid son aplicaciones con privilegios. En el modelo RBAC, los
programas que necesitan privilegios o autorizaciones para ejecutarse
correctamente también son aplicaciones con privilegios. Para obtener más
información, consulte Aplicaciones con privilegios y RBAC.
 Perfil de derechos: una recopilación de capacidades administrativas que se pueden
asignar a un rol o a un usuario. Un perfil de derechos puede constar de
autorizaciones, comandos con atributos de seguridad y otros perfiles de derechos.
Los perfiles de derechos ofrecen una forma práctica de agrupar los atributos de
seguridad.
 Rol: una identidad especial para ejecutar aplicaciones con privilegios. Sólo los
usuarios asignados pueden asumir la identidad especial. En un sistema que se
ejecuta por roles, el superusuario resulta innecesario. Las capacidades de
superusuario se distribuyen en roles diferentes. Por ejemplo, en un sistema de dos
roles, las tareas de seguridad serían gestionadas por un rol de seguridad. El segundo
rol se ocuparía de las tareas de administración del sistema que no están relacionadas
con la seguridad. Los roles pueden ser más específicos. Por ejemplo, un sistema
podría incluir roles administrativos independientes para gestionar la estructura
criptográfica, las impresoras, la hora del sistema, los sistemas de archivos y la
auditoría.

La siguiente figura muestra cómo trabajan juntos los elementos de RBAC.

45
En RBAC, se asignan roles a los usuarios. Cuando un usuario asume un rol, las
capacidades del rol están disponibles. Los roles obtienen sus capacidades de los perfiles
de derechos. Los perfiles de derechos pueden contener autorizaciones, privilegios
asignados directamente, comandos con privilegios y otros perfiles de derechos
complementarios. Los comandos con privilegios son comandos que se ejecutan con
atributos de seguridad.

La siguiente figura utiliza el rol de seguridad de la red y el perfil de derechos de seguridad

de la red para demostrar las relaciones de RBAC.

46
El rol de seguridad de la red se utiliza para la gestión de IPsec, wifi y enlaces de red. El rol
se asigna al usuario jdoe. Para asumir el rol, jdoe puede cambiar a dicho rol y, a
continuación, suministrar la contraseña del rol.

El perfil de derechos de seguridad de la red se asignó al rol de seguridad de la red. El

perfil de derechos de seguridad de la red contiene perfiles complementarios que se
evalúan en orden: seguridad de wifi de red, seguridad de enlaces de red y gestión de
IPsec de red. Estos perfiles complementarios desempeñan las principales tareas del rol.

El perfil de derechos de seguridad de la red tiene tres autorizaciones asignadas

directamente, ningún privilegio asignado directamente y dos comandos con atributos de
seguridad. Los perfiles de derechos complementarios tienen autorizaciones asignadas
directamente y dos de ellas tienen comandos con atributos de seguridad. En el rol de
seguridad de la red, jdoe tiene todas las autorizaciones asignadas en estos perfiles y
puede ejecutar todos los comandos con atributos de seguridad en estos
perfiles. jdoe puede administrar la seguridad de la red.

Conclusiones Finales.
Por lo general, un usuario obtiene capacidades administrativas a través de un rol. Las
autorizaciones y los comandos con privilegios se agrupan en un perfil de derechos. El
perfil de derechos se incluye en un rol, y el rol se asigna a un usuario.

La asignación directa de perfiles de derechos y atributos de seguridad también es posible:

 Se pueden asignar directamente perfiles de derechos, privilegios y autorizaciones a

usuarios.
 Se pueden asignar directamente privilegios y autorizaciones a usuarios y roles.

Sin embargo, la asignación directa de privilegios no es una práctica segura. Los usuarios
y los roles con un privilegio asignado directamente pueden anular la política de seguridad
cada vez que el núcleo necesite este privilegio. Una práctica más segura es asignar el
privilegio como atributo de seguridad de un comando en un perfil de derechos. Luego, ese
privilegio sólo estará disponible para ese comando y un usuario que tenga ese perfil de
derechos.

47
Dado que las autorizaciones funcionan en el nivel de usuario, la asignación directa de
autorizaciones puede resultar menos riesgosa que la asignación directa de privilegios. Sin
embargo, las autorizaciones pueden permitir a un usuario realizar tareas de seguridad
elevada, por ejemplo, asignar indicadores de auditoría.

Un perfil de derechos que se asigna directamente a un usuario presenta problemas de

facilidad de uso más que problemas de seguridad. Los comandos con atributos de
seguridad en el perfil de derechos sólo se pueden ejecutar correctamente en un shell de
perfil. El usuario no se debe olvidar de abrir un shell de perfil y, a continuación, debe
escribir los comandos en ese shell. Un rol al cual se asigna un perfil de derechos obtiene
un shell de perfil automáticamente. Por lo tanto, los comandos se ejecutan correctamente
en el shell del rol.

Bibliografía
 https://support.apple.com/es-mx/guide/mac-help/mtusr001/mac
 https://docs.oracle.com/cd/E24842_01/html/E23286/rbac-1.html
 https://www.welivesecurity.com/la-es/2015/05/22/como-administrar-permisos-
usuarios-grupos-usuarios-windows-7/
 https://analisisyprogramacionoop.blogspot.com/2018/12/funciones-Windows-2008-
server.html
 https://access.redhat.com/documentation/es-es/red_hat_enterprise_linux/8/html/
configuring_basic_system_settings/changing-basic-environment-settings_getting-
started-with-system-administration
 http://structio.sourceforge.net/guias/basico_OpenBSD/administra.html
 https://www.solvetic.com/page/recopilaciones/s/profesionales/tipos-de-ataques-
informaticos-e-intrusos-y-como-detectarlos

48