La seguridad toma muchas formas en un entorno de computación. Este capítulo muestra ejemplos de tres tipos diferentes de seguridad: acceso, prevención y detección.
El acceso de usuarios es normalmente manejado por login o una aplicación diseñada para manejar las funciones de ingreso. En este capítulo mostraremos cómo mejorar login estableciendo policías con módulos PAM. El acceso por red también puede protegerse mediante policías establecidas por iptables, conocidas comúnmente como cortafuegos. Para las aplicaciones que no ofrecen la mejor seguridad, puedes usar el paquete Stunnel para envolver una aplicación demonio dentro de un tunel SSL.
La prevención de brechas, como un troyano, es asistida por aplicaciones como GnuPG, específicamente la capacidad para verificar paquetes firmados, a detectar modificaciones del archivo TAR tras la creación del paquete.
Por último, tocamos la detección con un paquete que guarda "firmas" de ficheros críticos (definidos por el administrador), regenera estas "firmas" y las compara para los ficheros que han sido cambiados.
El paquete OpenSSL contiene herramientas de administración y librerías relacionadas con la criptografía. Son útiles para suministrar funciones criptográficas a otros paquetes, sobre todo OpenSSH y navegadores web (para acceso seguro a sitios HTTPS).
Descarga (HTTP): http://www.openssl.org/source/openssl-0.9.7e.tar.gz
Descarga (FTP): ftp://ftp.openssl.org/source/openssl-0.9.7e.tar.gz
Suma MD5 del paquete: a8777164bca38d84e5eb2b1535223474
Tamaño del paquete: 3.0 MB
Estimación del espacio necesario en disco: 35 MB
Tiempo estimado de construcción: 1.16 SBU
bc-1.06 (recomendada si ejecutas el banco de pruebas durante la construcción)
Instala OpenSSL ejecutando los siguientes comandos:
sed 's/^passwd/openssl-passwd/' doc/apps/passwd.pod \
> doc/apps/openssl-passwd.pod &&
rm doc/apps/passwd.pod &&
mv doc/crypto/{,openssl_}threads.pod &&
./config --openssldir=/etc/ssl --prefix=/usr shared &&
sed -i 's%SHLIBDIRS= fips crypto ssl%SHLIBDIRS= crypto ssl%g' Makefile &&
make MANDIR=/usr/share/man
Ahora, como usuario root:
make MANDIR=/usr/share/man install &&
cp -r certs /etc/ssl
no-rc5 no-idea: Cuando se añaden al comando ./config, eliminan la construcción de dichos métodos de encriptación. Puedes necesitar licencias sobre las patentes para utilizar cualquiera de estos métodos en tus proyectos.
rm doc/apps/passwd.pod: Hacemos esto porque de otra forma OpenSSL instalaría su página de manual de passwd sobre la existente en el sistema, que es algo que no queremos.
mv doc/crypto/{,openssl_}threads.pod: Este comando evita que OpenSSL sobreescriba una página de manual de Perl.
sed -i 's%SHLIBDIRS= fips crypto ssl%SHLIBDIRS= crypto ssl%g' Makefile: Este comando evita la construcción de la inexistente librería libfips.
make MANDIR=/usr/share/man
make MANDIR=/usr/share/man install
: Estos comandos instalan OpenSSL colocando las páginas de manual en /usr/share/man en lugar de en su ubicación por defecto que es /etc/ssl/man.
cp -r certs /etc/ssl: Los certificados deben copiarse a mano pues el guión de instalación se salta este paso.
Quienes sólo quieran usar OpenSSL para proporcionar funciones a otros programas, como OpenSSH y navegadores web, no tienen que preocuparse de configurarlo. La configuración de OpenSSL es un tema avanzado. Por eso se supone que quien quiere hacerlo sabe cómo, o es capaz de averiguar cómo se hace.
Un guión Perl que revisa todos los ficheros de un directorio y añade enlaces simbólicos apuntando a sus valores aleatorios (hash values).
Una herramienta para usar desde la línea de comandos las funciones criptográficas de la librería crypto de OpenSSL. Puede utilizarse para varias tareas que están documentadas en man 1 openssl.
Implementa una amplia gama de los algoritmos criptográficos usados en varias normas de Internet. Los servicios facilitados por esta librería son usados por las implementaciones OpenSSL de SSL, TLS y S/MIME, y también están siendo utilizados para implementar OpenSSH, OpenPGP y otros estándares criptográficos.
Implementa los protocolos Secure Sockets Layer (Capa de Conectores de Red Segura) (SSL v2/v3) y Transport Layer Security (Capa de Transporte Segura) (TLS v1). Posee una completa API cuya documentación puede encontrarse ejecutando man 3 ssl.