Cómo controlar el usuario privilegiado en Linux

A pesar del creciente número de delitos cibernéticos, muchas compañías que están dispuestas a invertir en medidas de seguridad adecuadas están mucho mejor protegidas hoy en día, que en el pasado. La solución y las prácticas de seguridad avanzan rápidamente para acomodar nuevas amenazas y ayudar a las empresas a mantenerse a la vanguardia de la curva.

Sin embargo, no todas las empresas están dispuestas a realizar las inversiones necesarias, y definitivamente, no todas las amenazas son consideradas iguales. Si bien la compañía definitivamente empleará soluciones de seguridad básicas, como firewalls y antivirus, no todos se realizan la inversión necesaria en la seguridad privilegiada de la seguridad de las cuentas y el monitoreo de la acción del usuario, con muchas opciones de medida estándar incorporada que su software y sistemas proporcionan.

Linux en particular tiene la reputación de ser menos vulnerable al malware, pero sus cuentas privilegiadas son de hecho muy propensas tanto a los ataques de los piratas informáticos como a los malos usuarios por parte de expertos maliciosos. Veamos con más detalle sobre cómo controlar el usuario privilegiado en Linux y qué medidas de seguridad proporciona Linux de fuera de la caja para ayudar a proteger las cuentas privilegiadas y cuán efectivas son realmente.

Tipos de cuentas de Linux

Igual que Windows, Linux presenta varios tipos de cuentas:

• Super usuario o raíz - Esta es una cuenta administrativa predeterminada que permite un control completo del sistema similar a la cuenta de administrador de Windows. Los privilegios raíz de Linux permiten al usuario ejecutar cualquier comando y controlar cualquier Servicio y cualquier otra cuenta, cambiar los permisos del usuario, agregar el usuario al grupo, etc.
• Usuario normal - Esta es una cuenta regular con un conjunto restringido de privilegios de usuario de Linux. No puede acceder a ningún recurso o servicios críticos del sistema y necesita permiso del usuario root para ejecutar ciertos comandos.
• Usuario del sistema - una cuenta de usuario con el mismo nivel de privilegio que el usuario normal, reservado para el uso por varias aplicaciones. Dichas cuentas se emplean para dar a las solicitudes ciertos permisos, o para aislarlas con fines de seguridad.

Linux permite una gran flexibilidad con sus cuentas. Puede crear múltiples cuentas de Root Linux si es necesario, y también asignó diferentes permisos a cuentas o grupos de cuentas. También puede cambiar directamente los permisos para leer, escribir y ejecución de ciertos archivos o directorios, así como su propiedad, lo que dicta directamente la autoridad del usuario sobre dichos archivos. Sin embargo, toda esta flexibilidad es una espada de doble filo, lo que facilita que el perpetrador o el experto en tecnología malicioso usen mal el uso o robo de datos protegidos.

En última instancia, la cuenta raíz es el punto más vulnerable del sistema, ya que es necesario para el acceso a archivos y configuraciones protegidos, y Linux tiene un par de formas incorporadas para proteger dicha cuenta.

Seguridad de la cuenta privilegiada

Cualquier cuenta raíz activa siempre debe protegerse con una contraseña, y Linux le pedirá que establezca una durante la instalación o cuándo decida usar una cuenta root. Sin embargo, directamente usando la cuenta root no es el curso de acciones más seguro para una organización, especialmente si tiene varios administradores del sistema.

Una manera mucho mejor es usar una cuenta regular y habilitar temporalmente los privilegios raíz, utilizando comandos SU o sudo. Ambos comandos realizan una tarea similar: permitir delegar el privilegio administrativo a una cuenta regular, pero funcionan de manera ligeramente diferente. Para usar SU, su administrador necesita conocer ambas contraseñas desde su propia cuenta y desde la raíz. Si bien esto puede proporcionar una capa adicional de protección cuando su cuenta se ve comprometida, no es ideal desde el punto de vista de la amenaza interna.

El comando sudo permite obtener un nivel de privilegio raíz sin la necesidad de conocer la contraseña de root. El permiso para acceder al comando sudo para otros usuarios se decide directamente por la raíz. Sudo deshabilita cualquier privilegio adicional cuando el usuario permanece inactivo durante más de cinco minutos, lo que requiere contraseña la próxima vez, lo que ayuda a proteger la consola cuando el administrador se va sin deshabilitar el acceso privilegiado.

En general, estas medidas de seguridad básicas permiten limitar el alcance de la energía que el administrador tiene sobre el sistema y permitir rastrear mejor el uso de cuentas administrativas. Por ejemplo, si el administrador ha iniciado sesión en un momento inusual, puede ser motivo de preocupación por la violación o el ataque interno. Sin embargo, sin la visión adecuada de las acciones del usuario, no se puede garantizar la protección confiable contra los ataques internos. Veamos qué herramientas proporciona Linux en el departamento de monitoreo de usuarios.

Herramientas de monitoreo de Linux incorporadas

Linux tiene una serie de comandos que permiten a los usuarios privilegiados acceder a registros y monitorear el uso de varios recursos del sistema. La más básica de ellos es la herramienta principal que proporciona una visión general dinámica de todos los procesos de ejecución actualmente. No solo puede verificar la utilización de recursos del sistema, sino también ver todos los comandos ejecutados y otra información útil que puede darle una idea de lo que están haciendo sus usuarios.
Linux también es famoso por su sniffer de red incorporado. A diferencia de la herramienta Windows similar, permite no solo ver el tráfico de red en tiempo real, sino también capturarlo para un análisis posterior, lo que proporciona una buena cantidad de visibilidad en el uso de la red.

En general, Linux tiene una funcionalidad de monitoreo incorporada bastante robusta, pero está diseñada principalmente para el mantenimiento técnico y la solución de problemas. No presenta datos de manera conveniente, y no permite obtener fácilmente una visión general de las acciones del usuario, lo que hace que su utilidad para la detección de amenazas internas sea bastante limitada.

Si bien Linux tiene una serie de herramientas incorporadas para controlar y proteger cuentas privilegiadas, en un entorno moderno de ciberseguridad, este nivel de protección no es suficiente. Las nuevas amenazas y vulnerabilidades emergen mucho tiempo, y Linux no es inmune a ellas. Si desea proteger realmente su sistema Linux, debe emplear una administración de acceso privilegiado profesional y soluciones de monitoreo de usuarios privilegiados que le brindarán una visibilidad completa sobre quién inició sesión con una cuenta privilegiada y qué están haciendo.