Este documento presenta información sobre la seguridad en OpenSolaris. Cubre temas como la minimización y el bastionado del sistema, los controles de acceso a archivos, los perfiles y roles de privilegios, los filtros de red y firewalls, la virtualización con zonas y contenedores, y las herramientas de auditoría.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]RootedCON
El objetivo de la ponencia es explicar las ventajas que nos va brinda la posibilidad de encolar el tráfico TCP/IP desde el espacio de kernel hacia el espacio de usuario. Esta teçnica permite gran cantidad de aplicaciones prácticas, ofensivas y defensivas, como modificar tráfico entrante/saliente en tiempo real, crear una capa de protección contra 0days hasta la publicación del parche correspondiente, detectar tráfico no autorizado como conexiones por dns tunneling etc.
Finalmente se explicará más en profundidad las diversas técnicas de detección de sistema operativo, tanto activas como pasivas, así como pruebas de concepto contra herramientas y dispositivos de seguridad conocidos, alterando los resultados a nuestra voluntad en entornos defensivos, o contra dispositivos de detección en entornos más ofensivos.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Jaime Sánchez - From kernel space to user heaven [Rooted CON 2013]RootedCON
El objetivo de la ponencia es explicar las ventajas que nos va brinda la posibilidad de encolar el tráfico TCP/IP desde el espacio de kernel hacia el espacio de usuario. Esta teçnica permite gran cantidad de aplicaciones prácticas, ofensivas y defensivas, como modificar tráfico entrante/saliente en tiempo real, crear una capa de protección contra 0days hasta la publicación del parche correspondiente, detectar tráfico no autorizado como conexiones por dns tunneling etc.
Finalmente se explicará más en profundidad las diversas técnicas de detección de sistema operativo, tanto activas como pasivas, así como pruebas de concepto contra herramientas y dispositivos de seguridad conocidos, alterando los resultados a nuestra voluntad en entornos defensivos, o contra dispositivos de detección en entornos más ofensivos.
Recorrido sobre las novedades de Asterisk 10, Asterisk 11 y Asterisk 12, así como las características que convierten a una aplicación considerada una PBX como un Framework de desarrollo de aplicaciones de voz, así como una herramienta tan potente como flexible.
Recorrido sobre las novedades de Asterisk 10, Asterisk 11 y Asterisk 12, así como las características que convierten a una aplicación considerada una PBX como un Framework de desarrollo de aplicaciones de voz, así como una herramienta tan potente como flexible.
Alan Feldenkris, Director, Client Development & Marketing Innovation at SapientNitro, gave this presentation at "Ambidexterity 2," the VCU Brandcenter's Executive Education program for account planning on June 24th at the VCU Brandcenter in Richmond, VA.
A description of how technology has changed the face of Biology, specially in the fields of genetics, proteomics, and evolution.
It includes a brief history, examples of usage, and a look into the future.
Apache Hadoop: design and implementation. Lecture in the Big data computing course (http://twiki.di.uniroma1.it/twiki/view/BDC/WebHome), Department of Computer Science, Sapienza University of Rome.
IEEE CS Keynote at 20th Annual Conference on Advanced Computing and Communications (ADCOM 2014), Bangaluru, India, September 19, 2014 by Prof. Raj Jain. The talk covers What are Things?, Internet of Things, Sample IoT Applications, What’s Smart?, 4 Levels of Smartness, Internet of Brains, Why IoT Now?, Funding, Google Trends, Research Funding for IoT, Business Opportunities, Venture Activities in IoT, Recent IoT Products, IoT Research Challenges, Internet of Harmful Things, Beacons, Power per MB, Datalink Issues, Ant-Sized IoT Passive Radios, Networking Issues, Last 100m Protocols, Recent Protocols for IoT, Legacy IoT Protocols, Standardization, Fog Computing, Micro-Clouds on Cell-Towers, The Problem Statement, Services in a Cloud of Clouds.
Basic of and Unix and Command. More presentation you can find on www.scmGalaxy.com.
scmGalaxy.com is dedicated to software configuration, build and Release management. This covers CVS, VSS (Visual Source Safe),Perforce, SVN(Subversion) MKS Integrity, ClearCase,TFS,CM Synergy, Best Practices ,AnthillPro, Apache Ant, Maven, Bamboo, Cruise Control and many more tools.
Jonathan Lee, Managing Director, Brand Strategy, and Ken Allard, Managing Director, Business Strategy at HUGE, gave this presentation at "Ambidexterity 2," the VCU Brandcenter's Executive Education program for account planning on June 24th at the VCU Brandcenter in Richmond, VA.
Introduction to Network Function Virtualization (NFV)rjain51
Class lecture by Prof. Raj Jain on Introduction to Network Function Virtualization (NFV). The talk covers Four Innovations of NFV, Network Function Virtualization, NFV, Why We need NFV?, NFV and SDN Relationship, Mobile Network Functions, ETSI NFV ISG, NFV Specifications, NFV Architecture, NFV Concepts, Network Forwarding Graph, NFV Reference Points, NFV Framework Requirements, NFV Use Cases, NFV Proof of Concepts, PoCs, ETSI ISG Timeline, Introduction to, Four Innovations of NFV, Network Function Virtualization, NFV, Why We need NFV?, NFV and SDN Relationship, Mobile Network Functions, ETSI NFV ISG, NFV Specifications, NFV Architecture, NFV Concepts, Network Forwarding Graph, NFV Reference Points, NFV Framework Requirements, NFV Use Cases, NFV Proof of Concepts, PoCs, ETSI ISG Timeline. Video recording available in YouTube.
Taller de Instalación, configuración y mantenimiento básico de gnu/linuxRemigio Salvador Sánchez
Slides del Taller de "Instalación, configuración y mantenimiento básico de gnu/linux. Ubuntu" realizado en el marco de las actividades del 11vo. Congreso Nacional y 8vo. Congreso Internacional de Informática y Sistemas. CONAIS 2014, efectuado en Villahermosa, Tabasco del 01 al 03 de octubre de 2014.
Herramienta de penetración y evaluación de seguridad orientado en Ubuntu – Linux proporcionando un conjunto de herramientas de análisis de los sistemas de información de la red. Este Sistema operative, incluye un conjunto completo de herramientas necesarias para el hacking ético y pruebas de seguridad.
Specific tool to audit and track all the administrators user's activity. We can control who is on what system and what is he/she doing.
It can record all the activity in X11/Windows applications and Telnet/SSH sessions, it can control file transfers too.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
Es un diagrama para La asistencia técnica o apoyo técnico es brindada por las compañías para que sus clientes puedan hacer uso de sus productos o servicios de la manera en que fueron puestos a la venta.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
1. USE IMPROVE EVANGELIZE
“ Seguridad en OpenSolaris”
Víctor M. Fernández Gómez
Comunidad Hispana OpenSolaris (OSUG)
vfernandezg@gmail.com
http://vfernandezg.blogspot.com
2. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− Perfiles, roles y privilegios
− ACLs de sistemas de ficheros
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoría
● Recursos e información 2
3. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimizacion y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoria
● Recursos e información 3
4. USE IMPROVE EVANGELIZE
Un poco de historia
● OpenSolaris nace en Junio de 2005
● Base de desarrollo de Solaris 11 (Nevada)
● Licencia CDDL de código abierto aprobada
por la OSI (Open Source Initiative)
● Creación del portal opensolaris.org
(proyectos: http://www.opensolaris.org/os/projects
comunidades: http://www.opensolaris.org/os/communities)
● Creación de grupos de usuarios locales
● La innovación y el conocimiento están en
marcha
4
5. USE IMPROVE EVANGELIZE
Un poco de historia - Licencia CDDL
5
6. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimizacion y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoria
● Recursos e información 6
7. USE IMPROVE EVANGELIZE
Que es OpenSolaris?
● No es un sistema operativo, tampoco es
un entorno de desarollo
● Proyecto de código abierto patrocinado por
Sun Microsystems
● Esfuerzo por unir a las comunidades de
desarrolladores, ya sean de Sun ó de otras
organizaciones open source
● Cualquiera puede contribuir en el código de
OpenSolaris y mejorar la tecnología del
sistema operativo -> OpenGrok
7
9. USE IMPROVE EVANGELIZE
Que es OpenSolaris?
● Core: consiste en el core del núcleo, las
bibliotecas y las órdenes que son distribuidas
actualmente en Solaris™
● Sun distribuye una imagen de lo que será
Sun Solaris 11 como binario, denominada
Solaris Express
● Desde el 10/07 ya esta disponible la primera
release de una distribución completa, cuya
versión estable esta planificada para el Q2
del 2008 => INDIANA
9
10. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimizacion y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoria
● Recursos e información 10
11. USE IMPROVE EVANGELIZE
Distribuciones Binarias
● Solaris 10
● SXCE Build 79 (xVM <- Xen)
Solaris Express Community Edition
● SXDE 1/08 (NetBeans, Java , Sun Studio 12 y DLight)
Solaris Express Developer Edition
● Nexenta (Solaris kernel + usuario Ubuntu)
● SchilliX (Live CD)
● Belenix (Live CD)
● marTux (Live DVD – Sparc y x86 / x64)
● Polaris (PowerPC)
11
12. USE IMPROVE EVANGELIZE
Distribuciones Binarias
12
13. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoría
● Recursos e información 13
14. USE IMPROVE EVANGELIZE
Minimización y bastionado
● Minimización: Es la eliminación de los
paquetes innecesarios para el sistema
● Bastionado: Es la modificación de la
configuración del sistema para mejorar su
seguridad
● Premisa: Los paquetes actuales presentan
una mayor granularidad
# pkginfo | grep -i telnet
system SUNWtnetc Telnet Command (client)
system SUNWtnetd Telnet Server Daemon (Usr)
system SUNWtnetr Telnet Server Daemon (Root)
14
15. USE IMPROVE EVANGELIZE
Minimización y bastionado
●Solaris Security Toolkit (SSE) es una
herramienta de bastionado:
− Permite la configuración de parametros
de seguridad del sistema como:
• Longitud de contraseñas
• Duración de contraseñas
• Numero de intentos fallidos
• Máscara de permisos UNIX...
Y de minimización:
− Permite eliminar paquetes en base a
plantillas customizables 15
16. USE IMPROVE EVANGELIZE
Minimización y bastionado
● Instalación como paquete
# pkgadd SUNWjass-4.2.0.pkg
● Permite configurar parametros finales del
sistema en /opt/SUNWjass/Drivers/user.init
● Permite la auditoria del sistema (BSM y
BART). Habilitar en hardening.driver y
deshabilitar en undoable-hardening.driver
● Ejecución en base a plantilla customizable
para la función final del sistema
# cd /opt/SUNWjass
# ./jass-execute -d install-Sun_ONE-WS.driver 16
17. USE IMPROVE EVANGELIZE
Minimización y bastionado
● Plantilla personalizable por dos scripts:
− El script minimize-Sun_ONE-WS.fin
elimina los paquetes innecesarios de
acuerdo a la versión de sistema
− El script install-Sun_ONE-WS.fin extrae
e instala el Sun ONE Web Server 6.0SP2
● La versión 4.2 ya es compatible con Solaris
10, tanto para arquitecturas sparc como para
x86 y x64 (Similar en cuanto a funcionalidad
a productos como CISscan y Titan)
17
18. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoría
● Recursos e información 18
19. USE IMPROVE EVANGELIZE
ACLs de sistemas de ficheros
● Por encima de los permisos UNIX (octales o
modales) y de los bits especiales (SUID,
SGID y Sticky)
● Existentes en UFS (Unix FileSystem)
● Sintaxis:
# setfacl -r -m pepe:fichero1:6 fichero1
# getfacl fichero1
...
pepe:fichero1:rw-
# ls -ltr fichero1
- rw-r--r--+ 1 root sys 301 Ene 24 18:15 fichero1
19
20. USE IMPROVE EVANGELIZE
ACLs de sistemas de ficheros
● Existentes en ZFS (Zettabyte FileSystem)
● Sintaxis:
# chmod A
+everyone@:delete_child/delete:file_inherit/dir_in
herit:deny /mypool/pepe
# cp /etc/motd /mypool/pepe
# ls -l /mypool/pepe/motd
- rw-r--r--+ 1 pepe users 301 Ene 24 18:15 motd
# rm /mypool/pepe/motd
rm: archive/motd not removed: Permission denied
# echo "Hello World" > archive/motd
# zfs get aclmode,aclinherit mypool/pepe
20
21. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimizaciòn y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoría
● Recursos e información 21
22. USE IMPROVE EVANGELIZE
Perfiles, roles y privilegios
● Perfiles y roles forman parte del paquete
RBAC (Role-Based Access Control)
● Sintaxis Perfil:
# vi /etc/security/prof_attr
Format:::Allow users to run format command::
# vi /etc/security/exec_attr
Format:suser:cmd:::/usr/sbin/format:uid=0
# usermod -P Format pepe
# su – pepe
# pfexec /usr/sbin/format
0. c0d0t0 <DEFAULT cyl 2556 alt 2 hd 128 sec 32>
22
23. USE IMPROVE EVANGELIZE
Perfiles, roles y privilegios
● Sintaxis Role:
(No es un parametro, es “casi” un usuario)
# vi /etc/security/prof_attr
Snoop:::Allow users to run snoop command::
# vi /etc/security/exec_attr
Snoop:suser:cmd:::/usr/sbin/snoop:uid=0
# roleadd -P Snoop rolesnoop
# usermod -R rolesnoop pepe
# su – pepe
# su rolesnoop
# /usr/sbin/snoop
23
24. USE IMPROVE EVANGELIZE
Perfiles, roles y privilegios
● Privelege: Parámetro que permite realizar
llamadas directas a funciones del sistema
● Integrado con RBAC (perfiles y roles)
● Integrado con SMF (Service Management
Facility)
● Sintaxis:
# usermod -K defaultpriv=basic,net_privaddr
webservd
# svccfg -s apache2
svc:/network/http:apache2> setprop start/privileges =
astring:basic,net_privaddr
24
25. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoría
● Recursos e información 25
26. USE IMPROVE EVANGELIZE
Filtros de red y firewall
● Filtros de red denominados Tcp_Wrappers
● Al margen de los servicios Criptográficos
(Openssl, IPSec y Kerberos)
● Integrados con los servicios controlados por
SMF (SSH, TELNET, FTP, RPC...)
# svccfg -s rpc/bind setprop
config/enable_tcpwrappers=true
# svcadm refresh rpc/bind
# inetadm -m telnet tcp_wrappers=true
# inetadm -l telnet | grep tcp_wrappers
tcp_wrappers=TRUE
# cat “sshd: 10.73.130.15” >> /etc/hosts.allow 26
27. USE IMPROVE EVANGELIZE
Filtros de red y firewall
● IPFilter es un firewall a nivel de módulos de
kernel (no es un proceso)
● Filtrado de tráfico TCP / UDP y traducción
de direcciones IP (NAT) y puertos (NAPT)
● Es un servicio propio de SMF
# vi /etc/ipf/ipf.conf
block in log on pcn0 all
pass in quick on pcn0 proto tcp from 172.16.0.0/16 to
172.16.1.100/32 port = 22
# tail -f /var/adm/ipfilter.log
pcn0 @0:4 b 10.73.130.68,50315 -> 10.73.130.251,22
PR tcp len 20 44 -S IN
27
28. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoría
● Recursos e información 28
29. USE IMPROVE EVANGELIZE
Zonas y contenedores
● Virtualización de entornos operativos
● Anfitrión OpenSolaris = zona global
● No globales:
− Invitado OpenSolaris = zona sparse
− Invitado Linux (CentOS/RHEL) = zona
brandz
− Acceso directo a los dispositivos bajo
configuración
− Menores privilegios que la zona global
− Alto % sistema montado solo lectura
29
30. USE IMPROVE EVANGELIZE
Zonas y contenedores
● Zona no global + gestión de recursos de
tipo hardware = Contenedor
● Resource Manager es el gestor de recursos
que actúa bajo situaciones de competencia
● Permite establecer limites de consumo para
cada recurso (CPU, Memoria, Swap...)
● Sintaxis:
# zoneadm list -iv
0 global running / native shared
- zonelx installed /opt/zones/zonelx lx shared
# zonecfg -z zonelx info 30
31. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoría
● Recursos e información 31
32. USE IMPROVE EVANGELIZE
Herramientas de auditoría
● BART (Basic Audit Reporting Tool) captura
información acerca de la integridad de un
archivo
# find /etc/security | bart create -I
/etc/security D 512 40755 user::rwx,group::r-x,mask:
r-x,other:r-x 46dcb5b6 0 3
...
● Esa información se almacena en imagenes,
las cuales puedes ser comparadas para
identificar archivos modificados de forma
diferencial entre ellas. 32
33. USE IMPROVE EVANGELIZE
Herramientas de auditoría
# bart compare manifest-before manifest-after
/etc/security/exec_attr: size control:29654 test:29664
mtime control:46e8a76e test:46efee70 contents
control:caf727ccd4de989974c2c81fa7cfdf29
test:071e79250e05b2363415ee5f05d25324
● En este ejemplo se observa como el fichero
/etc/security/exec_attr ha sufrido alguna
modificación en cuanto a la definición de su
tamaño, su fecha de cambio y en su resumen
MD5 (Similar a la funcionalidad de productos
como Tripwire y Aide) 33
34. USE IMPROVE EVANGELIZE
Herramientas de auditoría
●BSM (Basic Security Module) no se
encuentra activo por defecto. Es necesario
habilitarlo (preferiblemente en “Run Level” S)
# bsmconv
●Una vez activo es posible consultar y al
mismo tiempo, visualizar eventos
# auditreduce -u gbrunett -m AUE_su | praudit -s
header,104,2,AUE_su,,sec-b1600-0,2007-09-23 15:29:00.248 -04:00
subject,gbrunett,root,gbrunett,gbrunett,gbrunett,0 0sec-b1600-0
text,success for user root
return,success,0
zone,global 34
35. USE IMPROVE EVANGELIZE
Herramientas de auditoría
●Permite enviar la salida de los eventos de la
auditoría a través del syslog
# tail -f /var/adm/messages
Sep 23 15:29:00 sec-b1600-0 audit: [ID 702911
audit.notice] su ok session
2868335681 by gbrunett as root:gbrunett in global from
sec-b1600-0 text
success for user root
● Además podemos trasformar la información
de auditoría para que puede ser presentada
en ficheros de tipo XML, mediante una sola
instrucción 35
37. USE IMPROVE EVANGELIZE
Agenda
● Un poco de historia
● Qué es OpenSolaris?
● Distribuciones Binarias
● Seguridad
− Minimización y bastionado
− ACLs de sistemas de ficheros
− Perfiles, roles y privilegios
− Filtros de red y firewall
− Virtualización con zonas y contenedores
− Herramientas de auditoría
● Recursos e información 37
38. USE IMPROVE EVANGELIZE
Recursos e información - ¡ Unete !
● Portal internacional opensolaris.org
=> (http://opensolaris.org)
● kit de inicio OpenSolaris (KIOPS)
=> (http://get.opensolaris.org/)
● Comunidad Hispana OpenSolaris
=> (http://es.opensolaris.org)
● Lista de distribución
(http://mail.opensolaris.org/mailman/listinfo/ug-sposug)
● Canal IRC Hispano
=> (irc://irc.freenode.net/opensolaris-es)
● OpenSolaris Day y mas...
38
39. USE IMPROVE EVANGELIZE
¡ Muchas Gracias !
Víctor M. Fernández Gómez
Comunidad Hispana OpenSolaris (OSUG)
vfernandezg@gmail.com
http://vfernandezg.blogspot.com