Uno de los puntos importantes que afectan a la seguridad de los sistemas operativos son las configuraciones por defectos. El concepto de "primero que funcione y luego lo securizamos" es uno de los mayores errores a la hora de distribuir un producto. La mayoría de las configuraciones por defecto son dejadas así, tal vez por desconocimiento del riesgo, tal vez por no saber configurar correctamente los parámetros. El articulo de hoy va en relación a una configuración por defecto dentro del sistema Mac OS X que creemos que debe ser fortificada que permite, de forma similar al bug de FtpDisc 1.0, acceder a los archivos del sistema operativo Mac OS X.
El servicio FTP en Mac OS X
Mac OS X incorpora una serie de servicios instalados por defecto que, aunque no estén activos, es posible habilitarlos mediante el menú de Preferencias del sistema / Compartir /
Figura 1: Servicios de compartición de ficheros |
Uno de ellos es el servicio FTP que se encuentra bajo el nombre de Compartir Archivos. La configuración por defecto de este servicio no establece un chroot de los usuarios que se conecten, sean cuales sean sus permisos. Esto quiere decir que no hay un bloqueo por defecto y exclusivo para los usuarios dueños de las carpetas compartidas.
Accediendo a carpetas del sistema a través de una conexión FTP
De este modo, un usuario sin privilegios que conecte a través del protocolo FTP accedería inicialmente a su carpeta de usuario, pero al no existir un chroot sobre este directorio, puede subir niveles hasta llegar a la raíz del sistema y acceder, por tanto, al resto de los archivos del sistema.
Figura 2: Acceso a la carpeta raíz del sistema |
Aplicando un chroot a las carpetas compartidas por FTP
Para configurar este servicio de forma segura y aplicar un chroot sobre la carpeta $HOME de los usuarios que se conecten por FTP basta con indicar la lista de carpetas en el fichero /etc/ftpchroot. En caso de que se desee aplicar esta configuración a todos los usuarios que se conecten por medio de FTP se puede utilizar el carácter *. Una vez configurada la protección chroot, cuando un usuario conecte al sistema, su raíz FTP será establecida en la carpeta $HOME, tal y como se ve en la imagen siguiente:
Figura 3: Acceso con chroot a la carpeta $HOME |
No olvides configurar esta protección si alguna vez habilitas el servicio FTP. Establece un chroot para todos los usuarios que dispongan de permisos para establecer conexiones a tu equipo.
Correcto para usuarios normales, pero si se crean como solo compartir no es necesario. El sistema lo bloquea al directorio de inicio que se le indica en la opciones avanzadas (el shell se ha de dejar desactivado).
ResponderEliminar