CA Module 4

Módulo 4: Visión general de Linux
Ing. Julio César Altamirano Távara
CyberOps Associate v1.0

Objetivos del módulo
Título del módulo: Visión general de Linux
Objetivo del módulo: Implementar la seguridad basica de Linux.
Título del tema Objetivo del tema

Explicar por qué las destrezas de Linux son esenciales para la supervisión e
Nociones básicas de Linux
investigación de la seguridad de la red.
Uso del shell de Linux Utilizar el shell de Linux para manipular archivos de texto.
Servidores y clientes de Linux Explicar cómo funcionan las redes cliente-servidor.
Explicar cómo un administrador de Linux localiza y manipula los archivos de registro
Administración básica del servidor
de seguridad.
El sistema de archivos Linux Administrar los permisos y el sistema de archivos de Linux.
Trabajar en la GUI de Linux Explicar los componentes básicos de la GUI de Linux.
Trabajar en un host de Linux Utilizar herramientas para detectar malware en un host de Linux.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Información confidencial de Cisco. 2
4.1 Conceptos básicos de
Linux

Visión general de Linux
¿Qué es Linux?
• Linux es un sistema operativo creado en 1991.
• Linux es de código abierto, rápido, confiable y pequeño.
Requiere muy pocos recursos de hardware para ejecutarse y
tiene muchas opciones para ser personalizado.
• Linux es parte de varias plataformas y puede encontrarse en
cualquier sitio, desde relojes hasta supercomputadora.
• Linux está diseñado para estar conectado a la red, lo cual
facilita mucho la escritura y el uso de aplicaciones con base
en la red.
• Una distribución de Linux es el término utilizado para describir
paquetes creados por diferentes organizaciones que incluyen
el Kernel de Linux con herramientas y paquetes de software
personalizados.
El valor de Linux
Linux es, a menudo, el sistema operativo elegido en el centro de operaciones de seguridad
(SOC). Estos son algunos de los motivos para elegir Linux:
• Linux es de código abierto - Cualquier persona puede adquirir Linux sin cargo y modificarlo
según sus necesidades específicas.
• La interface de línea de comandos(CLI) de Linux es muy potente - La interfaz de línea de
comandos(CLI) es extremadamente potente y permite a los analistas realizar tareas, no solo
directamente en la terminal, sino que, también de manera remota.
• El usuario tiene más control sobre el sistema operativo(OS) - El usuario administrador en
Linux, es conocido como usuario root o super-usuario, puede modificar cualquier aspecto de
la computadora tecleando tan solo un poco.
• Permite mejor control de la comunicación con la red - El control es una parte inherente
de Linux.
Linux en el SOC
• La flexibilidad proporcionada por Linux es
una grandiosa característica para el SOC.
Todo el sistema operativo se puede adaptar
para convertirse en la plataforma perfecta
para el análisis de seguridad.
• Sguil es la consola de analista de
ciberseguridad en una versión especial de
Linux llamada Security Onion.
• Security Onion es un conjunto de
herramientas de código abierto que trabajan
en conjunto para el análisis
de seguridad de red.

Linux en el SOC
La siguiente tabla enlista algunas herramientas que suelen encontrarse en un SOC:
Herramienta SOC Descripción
• Una herramienta crucial para un analista del SOC, ya que permite

Software de captura de
observar y entender cada detalle de una transacción de la red.
paquetes
• Wireshark es una popular herramienta de captura de paquetes.
• Estas herramientas permiten al analista ejecutar y observar de

Herramientas de análisis
manera segura el funcionamiento de un malware sin poner en riesgo
de Malware
el sistema subyacente.
• Estas herramientas son utilizadas para el monitoreo y la inspección
Sistemas de detección de de tráfico en tiempo real.
intrusiones (Intrusion • Si cualquier aspecto del tráfico que fluye actualmente coincide con
detection systems, IDSs) cualquiera de las reglas establecidas, se ejecuta una acción
previamente definida.

Linux en el SOC
Herramienta SOC Descripción
• Este software se utiliza para especificar, según las reglas predefinidas,

Firewalls
si el tráfico está permitido para entrar o salir de la red o dispositivo.
• Los archivos de registro son usados para registrar eventos.
Administradores de • Dado que una red puede generar muchas entradas en el registro de
registros eventos, los software de gestores de registro se emplean para facilitar
el monitoreo de los registros.
Administración de
• SIEM proporciona análisis en tiempo real de alertas y entradas de
información y eventos de
registro generadas por dispositivos de red, como IDSs y Firewalls
seguridad (SIEM)
• La tarea de asignación, edición y registro de tickets se realiza a través
Sistema de tickets de un sistema de gestión de tickets Las alertas de seguridad a menudo
se asignan a los analistas a través de un sistema de tickets.

Herramientas de Linux
• Las computadoras de Linux que se utilizan en el SOC
suelen tener herramientas de pruebas de penetración.
• Una prueba de penetración, también se conoce como
PenTesting; es el proceso de ver la vulnerabilidad en
la red o computadora a ser atacados.
• Algunos ejemplos de herramientas de PenTesting son
los generadores de paquetes, los escáneres de
puertos y los ataques de prueba de concepto.
• Kali Linux es una distribución Linux que contiene
muchas herramientas de penetración juntas en una
sola distribución Linux.
• Observar todas las categorías principales de
herramientas de pruebas de penetración de Kali
Linux.
4.2 Uso del shell de Linux

Trabajando en el Shell de Linux
El Shell de Linux
• En Linux, el usuario se comunica con el sistema operativo mediante la CLI o GUI.
• Linux, a menudo, se inicia en la GUI de forma predeterminada. Esto oculta la CLI del
usuario.
• Una manera de tener acceso a la CLI desde la GUI, es mediante una aplicación de
emulación de terminales. Estas aplicaciones proporcionan al usuario acceso a la CLI y se
denomina con alguna variación de la palabra terminal.
• En Linux, los emuladores de terminal comunes son: Terminator, eterm, xterm, konsole y
gnome-terminal.
• Fabrice Bellard ha creado JSLinux que permite ejecutar una versión emulada de Linux en un
navegador.
Nota: El termino Shell, consola, ventana de consola, terminal de CLI y ventana terminal
suelen ser usadas indistintamente.

El Shell de Linux
En la figura, se ve gnome-terminal,
un emulador de terminal popular de
Linux.

Comandos básicos
• Los comandos de Linux son programas creados para realizar una tarea específica.
• Dado que los comandos son programas almacenados en el disco, cuando un usuario escribe
un comando, el Shell debe encontrarlo en el disco antes de que se pueda ejecutar.
• En la siguiente tabla se enlistan los comandos básicos de Linux y sus funciones:
Comando Descripción
mv Mueve o cambia el nombre de archivos y directorios.
chmod Modifica los permisos de archivo.
chown Cambia el propietario de un archivo.
dd Copia datos de un lugar en otro.
pwd Muestra el nombre del directorio actual.
Enlista los procesos del sistema que están actualmente en
ps
ejecución
Simula un inicio de sesión como otro usuario o para convertirse
su
en superusuario. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Comandos Básicos
Ejecuta un comando como superusuario, de forma predeterminada, u otro usuario
sudo
nombrado.
Se utiliza para buscar cadenas de caracteres específicas dentro de un archivo o de las
grep
salidas de otros comandos.
ifconfig Se utiliza para mostrar o configurar la información relacionada con la tarjeta de red.
apt-get Se utiliza para instalar, configurar y eliminar paquetes en Debian y sus derivados.
Se utiliza para mostrar o configurar la información relacionada con la tarjeta de red
iwconfig
inalámbrica.
Apaga el sistema y realiza las tareas relacionadas con el apagado incluido reiniciar,
shutdown
detener, suspender o expulsar todos los usuarios conectados.
passwd Se utiliza para cambiar la contraseña.
Se utiliza para enumerar el contenido de un archivo y espera el nombre de archivo como
cat
parámetro.
man Se utiliza para mostrar la documentación para un comando específico.
Comandos de archivos y directorios
Muchas herramientas de línea de comando están incluidas en Linux de manera
predeterminada. La siguiente tabla enumera algunos de los más comunes comandos
relacionados con archivos y directorios:
Is Muestra los archivos dentro de un directorio.
cd Cambia el directorio actual.
mkdir Crea un directorio en el directorio actual.
cp Copia archivos de origen a destino.
mv Desplaza archivos a otro directorio.
rm Elimina archivos.
Busca cadenas de caracteres específicas dentro de un archivo o de las
grep
salidas de otros comandos
Enumera el contenido de un archivo y espera el nombre de archivo como
cat
el parámetro. © 2016 Cisco y/o sus filiales. Todos los derechos reservados.
Trabajando con archivos de texto
• Linux tiene muchos editores de texto diferentes, con diversas características y funciones.
• Algunos editores de texto incluyen interfaces gráficas, mientras que otros son solamente
herramientas de líneas de comando. Cada editor de texto incluye un conjunto de
características diseñado para admitir una tarea específica.
• Algunos editores de texto se centran en la programación e incluyen funciones, como
resaltado de sintaxis, verificación de paréntesis y otras funciones orientadas a la
programación.
• Si bien los editores de texto gráficos son prácticos y fáciles de usar, los basados en la línea
de comando son muy importantes para los usuarios de Linux. El principal beneficio de los
editores de texto basados en la línea de comando es que permiten editar un archivo de texto
desde una computadora remota.

Trabajando el Shell de Linux
Trabajando con Archivos de Texto
• La figura muestra nano, un
popular editor de texto de línea
de comando.
• El administrador está editando
las reglas del firewall. Los
editores de texto suelen
utilizarse para la configuración
del sistema y el mantenimiento
en Linux.
• Debido a la falta de soporte
gráfico, nano (o GNU nano) se
puede controlar solamente con
el teclado.

La importancia de los Archivos de Texto en Linux
• En Linux, todo se trata como un archivo. Esto incluye la memoria, los discos, el monitor y los
directorios.
• Los archivos de configuración son archivos de texto los cuales son usados para almacenar
ajustes y configuraciones de aplicaciones o servicios específicos.
• Los usuarios con los niveles de permisos correctos pueden usar editores de texto para
cambiar el contenido de los archivos de configuración.
• Después de realizados los cambios, se guarda el archivo que ya puede ser utilizado por el
servicio o la aplicación relacionados. Los usuarios pueden especificar exactamente cómo
quieren que se comporte cualquier aplicación o servicio determinado. Cuando se abren, los
servicios y las aplicaciones comprueban el contenido de archivos de configuración
específicos para ajustar su comportamiento en consecuencia.
Nota: El administrador usa el comando sudo nano /etc/hosts para abrir el archivo. El
comando sudo (Abreviatura de "superuser do") invoca los privilegios de superusuario para utilizar el
editor de texto nano para abrir el archivo host.
La importancia de los archivos de texto en Linux
• En la figura, el administrador
abre el archivo de configuración
de host en nano para editar.
• El archivo host contiene
asignaciones estáticas de
direcciones IP de host a
nombres.
• Los nombres sirven como
accesos directos que permiten
conectarse a otros dispositivos
mediante un nombre en lugar de
una dirección IP. Solamente el
superusuario puede cambiar el
archivo host.
Uso del Shell de Linux
Práctica de laboratorio: Trabajar con archivos de texto en la CLI
En esta práctica de laboratorio, se familiarizará con editores de texto y archivos de

configuración de la línea de comando de Linux.

Trabajando con el Shell de Linux
Laboratorio – Familiarizar el uso de Shell de Linux
En esta práctica de laboratorio, utilizará la línea de comandos de Linux para

administrar archivos y carpetas y para realizar algunas tareas administrativas
básicas.

4.3 Clientes y servidores de
Linux

Servidores y Clientes de Linux
Una introducción a las comunicaciones entre Cliente y Servidor
• Los servidores son computadoras con software
instalado que les permite ofrecer servicios a los
clientes a través de la red.
• Algunos proporcionan recursos externos a los
clientes cuando lo solicitan, como archivos,
mensajes de correo electrónico o páginas web.
• Otros servicios ejecutan tareas de mantenimiento,
como administración de registros, escaneo del disco
y demás.
• Cada servicio requiere un software de servidor
independiente.
• El servidor en la figura utiliza un software de servidor
de archivos para proporcionar a los clientes la
capacidad de recuperar y enviar archivos.
Servidores, Servicios y sus puertos
• Un puerto es un recurso de red reservado utilizado por un servicio.
• Mientras que el administrador puede decidir qué puerto utilizar con cualquier servicio,
muchos clientes están configurados para utilizar un puerto específico de manera
predeterminada.
• La siguiente tabla enlista algunos puertos utilizados comúnmente y sus servicios. Estos
también se conocen como "Puertos conocidos(well-known ports)".
Puerto Descripción
20/21 Protocolo de transferencia de archivos (FTP)
22 Secure Shell (SSH)
23 Servicio de inicio de sesión remoto de Telnet
25 Protocolo simple de transferencia de correo (SMTP)
53 Sistema de nombres de dominio (DNS)
67/68 Protocolo de configuración dinámica de©Información
host (DHCP)
2016 Cisco y/o sus filiales. Todos los derechos reservados.
confidencial de Cisco. 24
Servidores, Servicios y sus puertos
Puerto Descripción
69 Protocolo trivial de transferencia de archivos (TFTP)
80 Protocolo de transferencia de hipertexto (HTTP)
110 Protocolo de oficina de correos, versión 3 (POP3)
123 Protocolo de tiempo de red (NTP)
143 Protocolo de acceso a mensajes de Internet (IMAP)
161/162 Protocolo simple de administración de redes (SNMP)
443 HTTP seguro (HTTPS)

Clientes
• Los clientes son programas o aplicaciones cuyo
objetivo es comunicarse con un tipo de servidor
específico.
• Los clientes usan un protocolo bien definido para
comunicarse con el servidor.
• Los navegadores Web son clientes web utilizados
para comunicarse con servidores web mediante el
protocolo de transferencia Hyper en el Puerto 80.
• El cliente de protocolo de transferencia de
archivos(File Transfer Protocol client, FTP) es un
software usado para tener comunicación con un
servidor FTP
• En la figura, se ve a un cliente cargando archivos a
un servidor.
Servidores y clientes de Linux
Laboratorio - Servidores Linux
En este laboratorio, se pondrá en practica el uso de la línea de comando de Linux

para identificar los servidores que se están ejecutando en una computadora.

4.4 Administración básica del
servidor

Archivos de configuración de servicio
• En Linux, los servicios se administran por
medio de archivos de configuración.
• Las opciones frecuentes en la configuración
de archivos son números de puertos,
localización de los recursos alojados y
detalles de autorización del cliente.
• Cuando el servicio se inicia, busca sus
archivos de configuración, los carga en la
memoria y se ajusta conforme a la
configuración presente en los archivos.
• El comando de salida muestra una porción
del archivo de configuración para Nginx, el
cual es un servidor web ligero para Linux.
Archivos de configuración de servicios
El comando de salida muestra
los archivos de configuración
del protocolo de tiempo de red
(Network Time Protocol, NTP).

Archivos de configuración de servicios
• El comando de salida muestra los
archivos de configuración de
Snort, un sistema de detección de
intrusiones(Intrusion detection
system, IDS) con base en Linux.
• No hay ninguna regla para un
formato de archivo de
configuración. Es la elección del
desarrollador del servicio. Sin
embargo, el formato option=
value es usado frecuentemente.

Fortalecimiento de dispositivos
• El fortalecimiento de dispositivos consiste en implementar métodos probados para proteger
el dispositivo y su acceso administrativo.
• Algunos de estos métodos implican mantenimiento de contraseñas, la configuración de
características de inicio de sesión remoto mejorado y la implementación de seguridad al
iniciar sesión por medio de SSH.
• De acuerdo con la distribución de Linux, muchos servicios están habilitados de manera
predeterminada. Detener estos servicios y garantizar que no se inicien automáticamente al
momento del arranque constituye otra técnica de fortalecimiento de dispositivos.
• Las actualizaciones del sistema operativo son extremadamente importantes para mantener
el dispositivo fortalecido. Los desarrolladores de sistemas operativos crean y publican
correcciones y parches con frecuencia.

Administración básica de servidores
Fortalecimiento de dispositivos
Las siguientes son las mejores practicas básicas para fortalecer un dispositivo:
• Garantizar la seguridad física.
• Minimizar la cantidad de paquetes instalados.
• Deshabilitar servicios que no se utilizan.
• Utilizar SSH y deshabilitar el inicio de sesión en cuentas raíz a través de SSH.
• Mantener el sistema actualizado.
• Deshabilitar la detección automática de USB.
• Aplicar contraseñas seguras.
• Forzar cambios de contraseña periódicamente.
• Impedir que los usuarios vuelvan a utilizar contraseñas antiguas.
Registros del servicio de monitoreo
Los archivos de registro son los datos que almacena una computadora para llevar un registro de
eventos importantes. Todos los eventos del Kernel, los servicios y las aplicaciones se registran en los
archivos de registro.
Mediante el monitoreo de archivos de registro de Linux, un administrador obtiene un panorama claro del
desempeño de la computadora, el estado de la seguridad y cualquier problema subyacente.
En Linux, los archivos de registro pueden clasificarse del siguiente modo:

• Registros de aplicaciones.
• Registros de eventos.
• Registros de servicios.
• Registros del sistema.
• Algunos archivos de registro contienen información acerca de daemons que se están ejecutando en
Linux. Un daemon es un proceso en segundo plano que se ejecuta sin necesidad de interactuar con
el usuario.
En la siguiente tabla se enlistan algunos archivos de registro de Linux populares y sus
funciones:
Archivo de registro
Descripción
de Linux
• Este directorio contiene registros genéricos de la actividad de la
computadora.
/var/log/messages
• Principalmente, se emplea para guardar mensajes informativos y no
críticos del sistema.
• Este archivo almacena todos los eventos relacionados con la
autenticación en computadoras Debian y Ubuntu.
/var/log/auth.log
• En este archivo, es posible encontrar cualquier información relacionada
con el mecanismo de autorización de usuario.
• Este directorio es utilizado por los equipos RedHat y CentOS.
/var/log/secure • También realiza un seguimiento de inicios de sesión de sudo y de SSH, y
otros errores registrados por SSSD.
• Este archivo almacena información relacionada al arranque y los
/var/log/boot.log
mensajes registrados durante el proceso© de inicio de la computadora.
Archivo de registro de
Descripción
Linux
• Este directorio contiene mensajes del búfer de anillo del Kernel.
• Aquí se registra la información relacionada con dispositivos de hardware
y sus controladores.
/var/log/dmesg • Es muy importante porque, debido a su nivel bajo, los sistemas de
registro (como Syslog) no se ejecutan cuando estos eventos suceden y,
por lo tanto, no suelen estar disponibles para el administrador en tiempo
real.
/var/log/kern.log • Este archivo contiene información registrada por el Kernel
• Cron es un servicio utilizado para programar tareas automatizadas en
Linux y sus eventos se almacenan en este directorio.
/var/log/cron • Cada vez que se ejecuta una tarea(o cron job)programada, toda la
información relevante incluido el estado de ejecución y los mensajes de
error son almacenados aquí.
• Este es el archivo de registro de MySQL.

/var/log/mysqld.log o
• Aquí se registran todos los mensajes de depuración, error y éxito
/var/log/mysql.log
relacionados con el proceso MySQL y el ©daemon mysqld_safe.
• El resultado del comando
muestra una parte del archivo
de registro /var/log/messages .
• Cada línea representa un
evento registrado.
• Las marcas de hora en el
comienzo de las líneas marcan
el momento en que ocurrió el
evento.

Práctica de laboratorio: archivos de registro de localización
En esta práctica de laboratorio se familiarizarán con los pasos para ubicar y
manipular archivos de registro de Linux.

4.5 Sistema de archivos de
Linux

El sistema de archivos de Linux
Los tipos de sistema de archivos de Linux
• Hay muchos tipos diferentes de sistemas de archivos, que varían en términos de velocidad,
flexibilidad, seguridad, tamaño, estructura, lógica y mucho más.
• El administrador decide el tipo de sistema de archivos adecuado para el sistema operativo.
• La siguiente tabla enlista algunos tipos de sistemas de archivos comúnmente encontrados y
respaldado por Linux
Sistema de archivos
Descripción
de Linux
• ext2 fue el sistema de archivos predeterminado en varias distribuciones
de Linux hasta que fue sustituido por ext3.
• ext2 sigue siendo el sistema de archivos preferido de los medios de
ext2 (segundo sistema
almacenamiento con base flash, ya que la ausencia de registros diarios
de archivos
aumenta el rendimiento y minimiza la cantidad de escrituras.
extendido)
• Dado que los dispositivos de memoria flash tienen una cantidad limitada
de operaciones de escritura, reducir estas operaciones al mínimo
aumenta la vida útil del dispositivo.
Los tipos sistemas de archivos en Linux
Sistema de archivos de
Descripción
Linux
• ext3 es un sistema de archivos con registro por diario diseñado para mejorar el sistema
de archivos ext2 existente.
• Un diario o registro, la principal característica que se agregó a ext3, es una técnica que
se utiliza para minimizar el riesgo de corrupción del sistema de archivos en caso de una
ext3 (tercer sistema de interrupción repentina en el suministro de corriente.
archivos extendido) • El sistema de archivos mantiene un registro de todos los cambios que están por
realizarse.
• Si la computadora deja de funcionar antes de que el cambio se complete, el diario
puede ser usado para restaurar o corregir cualquier problema creado por la interrupción.
• El tamaño máximo de archivo en sistemas de archivos ext3 es de 32 TB.
• ext4 se creó a partir de una serie de extensiones a ext3.

• Aunque las extensiones mejoraban el rendimiento de ext3 y aumentaban el tamaño de
ext4 (cuarto sistema de los archivos admitidos, a los desarrolladores les preocupaba la estabilidad y se
archivos extendido) opusieron a añadir las extensiones al sistema ext3 estable.
• El proyecto de ext3 se dividió en dos: un sistema se mantiene como ext3 y continúa su
desarrollo normal, y el otro, llamado ext4, incorpora las extensiones mencionadas.

Los archivos de sistema en Linux
Los tipos de archivos de sistema en Linux
Archivos de sistema
Descripción
de Linux
• NFS es un sistema de archivos basado en la red que permite el acceso a archivos
en la red.
NFS (Sistema de
• Desde el punto de vista del usuario, no hay diferencia entre el acceso a un archivo
archivos de red)
almacenado localmente o en otra computadora en la red.
• NFS es un estándar abierto que permite a cualquiera implementarlo.
CDFS (Sistema de
archivos de disco • CDFS fue creado específicamente para medios de discos ópticos.
compacto)
• El sistema de archivos de intercambio es usado por Linux cuando se queda sin
RAM.
• Cuando Linux se queda sin RAM, el Kernel mueve el contenido inactivo de la RAM
Sistema de a la partición swap en el disco.
intercambio de • Mientras que las particiones de intercambio pueden ser útiles para computadoras
archivos Linux con una cantidad limitada de memoria, no deben considerarse una solución
principal.
• La partición swap se almacena en un disco que tiene velocidades de acceso mucho
menores que la RAM.
Archivos de sistema
Descripción
de Linux
• Es un sistema de archivos usado por Apple en sus computadoras
HFS Plus o HSF+
Macintosh.
(Hierarchical File
• El Kernel de Linux incluye un módulo para montar HFS+ para las
System Plus)
operaciones de lectura y escritura.
• Sistema de archivos actualizado que utilizan los dispositivos Apple.
APFS (Apple File
• Proporciona un cifrado fuerte y está optimizado para unidades de estado
system)
sólido y flash.
• Situado en el primer sector de una computadora con particiones, el MBR

almacena toda la información sobre la manera en que está organizado el
Registro principal
sistema de archivos.
de arranque (MBR)
• El MBR le cede rápidamente el control a una función de carga para que
realice la carga el sistema operativo.

• El término que se utiliza para el
proceso de asignación de un
directorio a una partición es
montaje.
• Después de una operación de
montaje exitosa, al sistema de
archivos contenido en la partición
se puede acceder a través del
directorio especificado.
• El comando de salida muestra el
resultado del comando mount
emitido por la máquina virtual
Cisco CyberOps.

Roles y permisos de archivos en Linux
• Linux utiliza permisos de archivos con el objetivo de organizar el sistema y reforzar los
limites de la computadora.
• Cada archivo en Linux trae sus permisos de archivo, los cuales definen las acciones que el
propietario, el grupo y otros puede hacer con el archivo.
• Los posibles permisos son leer, escribir y ejecutar.
• El comando ls con el parámetro -l crea una lista detallada sobre la información del archivo.

El sistema de archivos en Linux
El resultado del comando ls -l proporciona mucha información sobre el archivo space.txt:
• El primer campo muestra los permisos con space.txt (-
rwxrw-r--).
• El segundo campo define la cantidad de enlaces físicos
hacia el archivo (el número 1 después de los permisos).
• El tercer y cuarto campo muestran el usuario (analyst)
y el grupo (staff) que poseen el archivo,
respectivamente.
• El quinto campo muestra el tamaño del archivo en
bytes. El archivo space.txt tiene 253 bytes.
• El sexto campo muestra la fecha y hora de la última
modificación.
• El séptimo campo muestra el nombre del archivo.
La figura muestra un desglose de los permisos de archivo en Linux. El archivo space.txt tiene
los siguientes permisos:
• El guion (-) indica que se trata de un archivo.
• El primer conjunto de caracteres (rwx) son para

permisos de usuario. El usuario (Analyst) que
posee el archivo puede Read (Leer), Write
(Escribir) y eXecute (ejecutar) el archivo.
• El segundo conjunto de caracteres es para los
permisos de grupo (rw-). El grupo (Staff)que
posee el archivo puede Read (Leer) y Write
(Escribir) el archivo.
• El tercer conjunto de caracteres es para
cualquier otro permiso de usuario o grupo(r--)los
cuales solo pueden Read (Leer) el archivo.

• Los valores octales son utilizados para definir permisos.
• Los permisos de archivos son una parte fundamental de Linux y no se pueden eliminar.
• El único usuario que puede anular el permiso de archivo en una computadora con Linux
es el usuario root.
Binario Octal Permiso Descripción

000 0 --- Sin acceso
001 1 --x Solo ejecución
010 2 -w- Solo escritura
011 3 -wx Escritura y ejecución
100 4 r-- Solo lectura
101 5 r-x Lectura y ejecución
110 6 rw- Lectura y escritura
111 7 rwx Lectura, escritura y©ejecución
Enlaces rígidos y Enlaces simbólicos
• Un enlace rígido es otro archivo que apunta a
la misma ubicación que el archivo original.
• Usar el comando ln para crear un enlace
rígido.
• El primer argumento es el archivo existente y,
el segundo, el archivo nuevo.
• Como se muestra en el comando output, el
archivo space.txt está enlazado
a space.hard.txt y el campo de enlace ahora
muestra 2.
• Ambos archivos apuntan a la misma
ubicación en el sistema de archivos. Si
cambia un archivo, el otro también cambia.
• El comando echo se utiliza para añadir algún
texto a space.txt.
Enlaces rígidos y enlaces simbólicos
• Un enlace simbólico, también llamado
enlace suave o symlink, es similar a un
enlace físico en el sentido de que, al
aplicar cambios a un enlace simbólico,
también cambia el archivo original.
• Como se muestra en el comando
output, utiliza el comando ln con la
opción -s para crear un enlace
simbólico.
• Observar que añade una línea de texto
a test.txt también añade la línea
a mytest.txt.

Enlaces rígidos y enlaces simbólicos
La siguiente tabla muestra varias ventajas de los enlaces simbólicos sobre los enlaces
duros:
Enlaces rígidos Enlaces suaves
Localizar enlaces rígidos es más difícil Los enlaces simbólicos muestran la ubicación
del archivo original en el comando ls -l .
Los enlaces físicos se limitan al sistema de Los enlaces simbólicos pueden estar
archivos en el que se crean. vinculados a un archivo en otro sistema de
archivos.
Los enlaces rígidos no pueden estar vinculados Los enlaces simbólicos pueden estar
a un directorio como el propio sistema porque vinculados a directorios.
utiliza enlaces rígidos para definir la jerarquía
de la estructura de los directorios.

Laboratorio - Navegación por el sistema de archivos y la
configuración de permisos
En esta práctica de laboratorio, se familiarizará con el sistema de archivos de
Linux.

4.6 Trabajo con la GUI de Linux

Trabajando con la GUI de Linux
Sistema X Window
• La interfaz gráfica presente en la mayoría de las computadoras Linux tiene como base el
sistema X Window.
• X window, también conocido como X o X11, es un sistema de ventanas diseñado para
proporcionar el marco de trabajo básico para una GUI
• X incluye funciones para dibujar y mover ventanas en el dispositivo de visualización, e
interactuar con un mouse y un teclado.
• X funciona como un servidor, el cual le permite a un usuario remoto utilizar la red para
conectarse, iniciar una aplicación gráfica y mantener la ventana de gráficos abierta en el
terminal remoto.
• X no especifica la interfaz de usuario y deja que otros programas, como los gestores de
ventanas, definan todos los componentes gráficos.

Sistema X Window
Ejemplos de gestores de ventanas son Gnome y KDE.
El Gnome Window Manager El KDE Window Manager

Uso de la GUI de Linux
La GUI de Linux
• Mientras un sistema operativo no
necesita una GUI para funcionar,
las GUI se consideran más fáciles
de usar que la CLI. El usuario
puede reemplazar fácilmente la
GUI de Linux en su totalidad.
• Ubuntu es una distribución Linux
muy popular y fácil de usar.
• Ubuntu Linux utiliza Gnome 3
como la GUI predeterminada.
• La figura muestra la ubicación de
algunas de las características del
escritorio Ubuntu Gnome 3.
La GUI de Linux
En la siguiente tabla se enumeran los principales componentes de la interfaz de usuario de
Unity:
Componente UI Descripción
• El menú Aplicaciones muestra íconos para las aplicaciones instaladas en el sistema.

Menú de
• El menú contextual proporciona accesos directos que permiten iniciar o configurar las aplicaciones.
aplicaciones
• El cuadro de búsqueda del sistema está disponible en la vista Actividades.
• Una base que se ubica en el lado izquierdo de la pantalla, sirve como selector y modificador de
aplicaciones favoritas.
• Haga clic para iniciar una aplicación y, cuando la aplicación se esté ejecutando, haga clic otra vez
Ubuntu Dock para cambiar entre las aplicaciones en ejecución.
• Si se está ejecutando más de una aplicación, el Selector mostrará todas las instancias.
• Haga clic con el botón derecho en cualquier aplicación en el iniciador para ver detalles acerca de
que la aplicación.
• Esta barra de menús contiene un menú para la aplicación que actualmente tiene el foco.
Barra superior • Muestra la hora actual e indica si hay nuevos mensajes del sistema.
• También proporciona acceso a la vista de escritorio de actividad y al menú de estado del sistema.

La GUI de Linux
Componente UI Descripción
Calendario y
• Haga clic en el día y la hora para ver el calendario completo de citas y los
bandeja de
mensajes actuales del sistema.
mensajes del
• Acceda al calendario de citas desde aquí para crear nuevas citas.
sistema
• Cambie a la vista de aplicaciones para cambiar o cerrar aplicaciones en
ejecución.
Actividades • Una poderosa herramienta de búsqueda está disponible aquí que
encontrará aplicaciones, archivos y valores dentro de los archivos.
• Permite cambiar entre espacios de trabajo.
• Permite la configuración del adaptador de red y otros dispositivos en
ejecución.
Menú de estado • El usuario actual puede cerrar sesión o cambiar su configuración.
• Los cambios en la configuración del sistema se pueden realizar aquí.
• La estación de trabajo se puede bloquear o apagar desde aquí.

4.7 Trabajo con el host de Linux

Trabajar en un Host de Linux
Instalar y ejecutar aplicaciones en un host de Linux
• Muchas aplicaciones de usuario final son
programas complejos, escritos en lenguajes
compilados.
• Para ayudar en el proceso de instalación, Linux

incluye programas llamados administradores de
paquetes.
• El uso de un administrador de paquetes para

instalar un paquete, permite colocar todos los
archivos necesarios en la ubicación correcta en el
sistema de archivos.
• Un paquete es el término utilizado para referirse a

un programa y a todos sus archivos compatibles.
• El resultado del comando muestra la salida

de algunos comandos apt-get utilizados en las
distribuciones Debian.
Trabajando en un host de Linux
Mantener el sistema actualizado
• Actualizaciones del sistema, también conocidas como parches, son publicadas periódicamente por
empresas de sistemas operativos, para abordar cualquier vulnerabilidad conocida en sus sistemas
operativos
• Los sistemas operativos modernos alertarán al usuario cuando las actualizaciones estén disponibles para
la descarga e instalación, pero el usuario puede buscar actualizaciones en cualquier momento.
• La siguiente tabla compara los comandos de distribución Arch Linux y Debian/Ubuntu Linux para realizar
operaciones básicas del sistema de paquetes.
Tarea Arch Debian/Ubuntu
Instalar un paquete por nombre pacman -S apt install
Eliminar un paquete por nombre pacman -Rs apt remove
Actualizar un paquete local pacman -Syy apt-get update
Actualizar todos los paquetes instalados

pacman -Syu apt-get upgrade
actualmente
Mantener el sistema actualizado
• Una GUI de Linux también se
puede utilizar para comprobar e
instalar actualizaciones
manualmente.
• En Ubuntu, por ejemplo, para
instalar actualizaciones, haga clic
en la barra de búsqueda rápida,
escriba software updater y, a
continuación, haga clic en el ícono
Software Updater.

Trabajando con un host de Linux
Procesos y bifurcaciones
• Un proceso es una instancia en ejecución de un programa informático.
• La bifurcación es un método que utiliza el Kernel para permitir que un proceso cree una
copia de sí mismo.
• Los procesos necesitan una manera de crear nuevos procesos en los sistemas operativos
multitarea. La bifurcación es la única manera de lograr esto en Linux.
• Cuando un proceso solicita la bifurcación, el proceso que realiza la solicitud se convierte en
el proceso principal y el proceso recién creado se denomina subproceso.
• Después de la bifurcación, los procesos son, hasta cierto punto, procesos independientes.
Tienen diferentes identificadores de proceso pero ejecutan el mismo código de programa.

En la siguiente tabla se enumeran tres comandos que se utilizan para administrar procesos.
• Se utiliza para enumerar los procesos en ejecución en el sistema cuando se invoca.

ps • Se puede indicar que muestre los procesos en ejecución que pertenecen al usuario actual o
a otros usuarios.
• Es utilizado para indicar procesos en ejecución, pero a diferencia de ps, top sigue
top mostrando los procesos en ejecución de dinámicamente.
• Presione q para salir de top.
• Utilizado para modificar el comportamiento de un proceso específico.
• Según el parámetro, kill removerá, reiniciará o detendrá un proceso.
kill
• En muchos casos, el usuario ejecutará ps o top antes de ejecutar kill.
• Esto se hace para que el usuario adquiera la PID de un proceso antes de ejecutar kill.

El comando de salida muestra
el resultado del
comando top en un
computadora Linux.

Trabajando con un Host de Linux
Malware en un host de Linux
• El malware de Linux incluye virus, troyanos,
gusanos y otros tipos de malware que pueden
afectar el sistema operativo.
• Un vector de ataque común en Linux son sus
servicios y procesos.
• El comando de salida muestra un atacante
usando el comando Telnet para probar la
naturaleza y versión de un servidor web (Puerto
80).
• El atacante descubrió que el servidor está
ejecutando nginx versión 1.12.0. El siguiente
paso sería investigar vulnerabilidades
conocidas en el código de nginx 1.12.0.

Trabajar con un host de Linux
Comprobación de Rootkit
• Un rootkit es un tipo de malware diseñado para aumentar los
privilegios de un usuario no autorizado u otorgar acceso a
partes del software que no suelen estar disponibles.
• Un rootkit es destructivo, porque cambia el código del Kernel y
sus módulos, lo que afecta las operaciones más fundamentales
del sistema operativo propiamente dicho.
• Los métodos de detección de rootkit incluyen arrancar el equipo
desde un medio de confianza.
• La eliminación de rootkit puede ser complicada. La reinstalación
del sistema operativo es la única solución real al problema.
• chrootkit es un programa popular con base en Linux, diseñado
para comprobar si la computadora tiene rootkits conocidos.
• El comando output muestra el resultado de chrootkit en un
sistema Linux con Ubuntu

Comandos Piping
• Aunque las herramientas de línea de comando
suelen diseñarse para realizar una tarea
específica bien definida, muchos comandos se
pueden combinar para realizar tareas más
complejas mediante una técnica conocida como
Piping.
• El Piping consiste en vincular comandos entre sí,
de manera que el resultado de un comando
alimente la entrada de otro.
• Los dos comandos, ls y grep, pueden ser
entubados juntos para filtrar el resultado de ls.
Esto se muestra en la salida del comando ls -l |
grep host y el comando ls -l | grep file.

Trabajando con un host Linux
Video demostrativo - Aplicaciones, Rootkits y comandos Piping
Observe el video para ver una demostración de la instalación y actualización de aplicaciones,

la detección de rootkits y el uso de comandos de Piping.

4.8 Resumen de Nociones
básicas de Linux

Resumen básico de Linux
¿Qué aprendí en este módulo?
• Linux es un sistema operativo de código abierto rápido, fiable y pequeño.
• En Linux, el usuario se comunica con el sistema operativo a través de una GUI o una interfaz
de línea de comandos (CLI), o Shell.
• Los servidores son computadoras que tienen un software instalado que les permite
proporcionar servicios a las computadoras cliente a través de la red.
• En Linux, los servidores se administran por medio de archivos de configuración. Varios
ajustes se pueden modificar y guardar en archivos de configuración.
• Linux soporta una serie de sistemas de archivos diferentes que varían según la velocidad, la
flexibilidad, la seguridad, el tamaño, la estructura, la lógica y mucho más. Algunos de los
sistemas de archivos que son compatibles con Linux son ext2, ext3, ext4, NFS y CDFS.
• El sistema X Windows, o X11, es un marco de software básico que incluye funciones para
crear, controlar y configurar una GUI de Windows en una interfaz de apuntar y hacer clic.
• Para instalar aplicaciones en hosts Linux, se utilizan programas llamados administradores de
paquetes. Los paquetes son aplicaciones de software y todos sus archivos auxiliares.

CA Module 4

Cargado por

Copyright:

Formatos disponibles

CA Module 4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CA Module 4

Cargado por

Copyright:

Formatos disponibles

Módulo 4: Visión general de Linux

Ing. Julio César Altamirano Távara

CyberOps Associate v1.0

Objetivo del módulo: Implementar la seguridad basica de Linux.

Título del tema Objetivo del tema

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Herramienta SOC Descripción

• Una herramienta crucial para un analista del SOC, ya que permite

• Estas herramientas permiten al analista ejecutar y observar de

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Este software se utiliza para especificar, según las reglas predefinidas,

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

En esta práctica de laboratorio, se familiarizará con editores de texto y archivos de

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

En esta práctica de laboratorio, utilizará la línea de comandos de Linux para

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

69 Protocolo trivial de transferencia de archivos (TFTP)

80 Protocolo de transferencia de hipertexto (HTTP)

110 Protocolo de oficina de correos, versión 3 (POP3)

123 Protocolo de tiempo de red (NTP)

143 Protocolo de acceso a mensajes de Internet (IMAP)

161/162 Protocolo simple de administración de redes (SNMP)

443 HTTP seguro (HTTPS)

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

En este laboratorio, se pondrá en practica el uso de la línea de comando de Linux

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

En Linux, los archivos de registro pueden clasificarse del siguiente modo:

• Registros del sistema.

• Este es el archivo de registro de MySQL.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• ext4 se creó a partir de una serie de extensiones a ext3.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• Situado en el primer sector de una computadora con particiones, el MBR

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

• El primer conjunto de caracteres (rwx) son para

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

Binario Octal Permiso Descripción

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

© 2016 Cisco y/o sus filiales. Todos los derechos reservados.

El Gnome Window Manager El KDE Window Manager