Manual de Configuració Segura de Privilegis
1. Deshabilitació de Root i Entorno 100% Nominal
Pas 1.1: Bloqueig de la contrasenya del superusuari
Invalida la contrasenya de root per bloquejar qualsevol inici de sessió local o per consola:
sudo passwd -l root
Pas 1.2: Modificació del shell per defecte
Canvia l’entorn d’execució de root a un shell no interactiu, evitant execucions accidentals o crides indirectes del sistema:
sudo usermod -s /sbin/nologin root
Pas 1.3: Restricció del service SSH
Denega l’accés remot de root modificant els paràmetres de xarxa del dimoni SSH:
# Comprovar/afegir la directiva a /etc/ssh/sshd_config:
PermitRootLogin no
# Reiniciar el dimoni per aplicar el canvi de forma immediata:
sudo systemctl restart sshd
2. Privilegis Totals per als Usuaris Nominals (Optimitzat)
Per evitar modificar de forma massiva el fitxer genèric /etc/sudoers, es treballa dins del directori securitzat /etc/sudoers.d/. Això permet segmentar els permisos en una única línia estructurada aplicable a tot l’equip.
Pas 2.1: Creació del grup administratiu i assignació dels membres de l’equip
Se genera un únic grup del sistema i s’afegeixen els usuaris nominals específics de l’equip (sergi, martiE i martiG):
sudo groupadd sysadmins
sudo usermod -aG sysadmins sergi
sudo usermod -aG sysadmins martiE
sudo usermod -aG sysadmins martiG
Pas 2.2: Implementació de la directiva neta a sudoers.d
Utilitzant l’eina segura visudo per validar la sintaxi, creem el fitxer de configuració modular a la ubicació més segura:
sudo visudo -f /etc/sudoers.d/sysadmins
Dins d’aquest fitxer afegim la següent instrucció optimitzada en **una sola línia** de codi per donar cobertura a tot el grup:
%sysadmins ALL=(ALL:ALL) ALL
Nota de seguretat: Gràcies a aquesta directiva, el sistema exigirirà sempre la contrasenya del propi usuari nominal (ja sigui sergi, martiE o martiG) abans d’elevar privilegis, assegurant una traçabilitat total en els logs d’auditoria.
3. Gestió dels Perfils Específics: “super” i “major”
Sota el principi del mínim privilegi, es configuren dos comptes amb restriccions perimetrals diferenciades dels comptes de l’equip tècnic, tal com demana el fitxer {F3587998-ACAB-4582-BE8F-6CBEC4C2D05D}.png.
Perfil A: Usuari “super” sense privilegis
Malgrat el seu nom, s’inicialitza com un usuari pla i limitat, excloent-lo de qualsevol grup amb permisos d’administració o elevació de privilegis.
sudo useradd -m -s /bin/bash super
sudo passwd super
Perfil B: Usuari “major” amb privilegis per gestionar la xarxa del SO i els serveis
Aquest usuari ha de poder gestionar únicament les interfícies de xarxa i els serveis del sistema mitjançant systemd.
Primer, inicialitzem l’usuari nominal al sistema:
sudo useradd -m -s /bin/bash major
sudo passwd major
Posteriorment, creem un fitxer de privilegis exclusiu per a ell:
sudo visudo -f /etc/sudoers.d/major-privileges
I hi insertem els següents blocs de codi estructurats mitjançant àlies de comandes (Cmnd_Alias):
# Definició de comandes permeses per a Gestió de Xarxa
Cmnd_Alias NET_MGMT = /usr/sbin/ip, /usr/sbin/ifconfig, /usr/sbin/route, /usr/bin/nmcli, /usr/bin/nmtui
# Definició de comandes permeses per a Gestió de Serveis del SO
Cmnd_Alias SRV_MGMT = /usr/bin/systemctl, /usr/sbin/service
# Assignació de permisos restrictiva a l’usuari ‘major’
major ALL=(root) NET_MGMT, SRV_MGMT
4. Auditoria i Verificació de la Configuració
S’exposen els fragments de sortida de consola esperats després de l’aplicació de les polítiques per corroborar que l’entorn està blindat.
Prova de validació sobre l’usuari root:
En intentar forçar un canvi d’usuari cap a root, el sistema bloqueja la shell local directament ja que està deshabilitat:
$ su – root
This account is currently not available.
Prova de validació sobre l’usuari “major”:
Si l’usuari major executa comandes de l’àrea assignada (xarxa o serveis), el sistema operarà correctament:
sudo systemctl restart networking
sudo ip link set dev eth0 up
Si l’usuari major intenta vulnerar el sistema o accedir a informació fora dels seus privilegis (com ara visualitzar el fitxer shadow), el mòdul de seguretat ho denegarà:
$ sudo cat /etc/shadow
Sorry, user major is not allowed to execute ‘/bin/cat /etc/shadow’ as root.
Manual de Configuració Segura de Privilegis
1. Deshabilitació de Root i Entorno 100% Nominal
Pas 1.1: Bloqueig de la contrasenya del superusuari
Invalida la contrasenya de root per bloquejar qualsevol inici de sessió local o per consola:
sudo passwd -l root
Pas 1.2: Modificació del shell per defecte
Canvia l’entorn d’execució de root a un shell no interactiu, evitant execucions accidentals o crides indirectes del sistema:
sudo usermod -s /sbin/nologin root
Pas 1.3: Restricció del service SSH
Denega l’accés remot de root modificant els paràmetres de xarxa del dimoni SSH:
# Comprovar/afegir la directiva a /etc/ssh/sshd_config:
PermitRootLogin no
# Reiniciar el dimoni per aplicar el canvi de forma immediata:
sudo systemctl restart sshd
2. Privilegis Totals per als Usuaris Nominals (Optimitzat)
Per evitar modificar de forma massiva el fitxer genèric /etc/sudoers, es treballa dins del directori securitzat /etc/sudoers.d/. Això permet segmentar els permisos en una única línia estructurada aplicable a tot l’equip.
Pas 2.1: Creació del grup administratiu i assignació dels membres de l’equip
Se genera un únic grup del sistema i s’afegeixen els usuaris nominals específics de l’equip (sergi, martiE i martiG):
sudo groupadd sysadmins
sudo usermod -aG sysadmins sergi
sudo usermod -aG sysadmins martiE
sudo usermod -aG sysadmins martiG
Pas 2.2: Implementació de la directiva neta a sudoers.d
Utilitzant l’eina segura visudo per validar la sintaxi, creem el fitxer de configuració modular a la ubicació més segura:
sudo visudo -f /etc/sudoers.d/sysadmins
Dins d’aquest fitxer afegim la següent instrucció optimitzada en **una sola línia** de codi per donar cobertura a tot el grup:
%sysadmins ALL=(ALL:ALL) ALL
Nota de seguretat: Gràcies a aquesta directiva, el sistema exigirirà sempre la contrasenya del propi usuari nominal (ja sigui sergi, martiE o martiG) abans d’elevar privilegis, assegurant una traçabilitat total en els logs d’auditoria.
3. Gestió dels Perfils Específics: “super” i “major”
Sota el principi del mínim privilegi, es configuren dos comptes amb restriccions perimetrals diferenciades dels comptes de l’equip tècnic, tal com demana el fitxer {F3587998-ACAB-4582-BE8F-6CBEC4C2D05D}.png.
Perfil A: Usuari “super” sense privilegis
Malgrat el seu nom, s’inicialitza com un usuari pla i limitat, excloent-lo de qualsevol grup amb permisos d’administració o elevació de privilegis.
sudo useradd -m -s /bin/bash super
sudo passwd super
Perfil B: Usuari “major” amb privilegis per gestionar la xarxa del SO i els serveis
Aquest usuari ha de poder gestionar únicament les interfícies de xarxa i els serveis del sistema mitjançant systemd.
Primer, inicialitzem l’usuari nominal al sistema:
sudo useradd -m -s /bin/bash major
sudo passwd major
Posteriorment, creem un fitxer de privilegis exclusiu per a ell:
sudo visudo -f /etc/sudoers.d/major-privileges
I hi insertem els següents blocs de codi estructurats mitjançant àlies de comandes (Cmnd_Alias):
# Definició de comandes permeses per a Gestió de Xarxa
Cmnd_Alias NET_MGMT = /usr/sbin/ip, /usr/sbin/ifconfig, /usr/sbin/route, /usr/bin/nmcli, /usr/bin/nmtui
# Definició de comandes permeses per a Gestió de Serveis del SO
Cmnd_Alias SRV_MGMT = /usr/bin/systemctl, /usr/sbin/service
# Assignació de permisos restrictiva a l’usuari ‘major’
major ALL=(root) NET_MGMT, SRV_MGMT
4. Auditoria i Verificació de la Configuració
S’exposen els fragments de sortida de consola esperats després de l’aplicació de les polítiques per corroborar que l’entorn està blindat.
Prova de validació sobre l’usuari root:
En intentar forçar un canvi d’usuari cap a root, el sistema bloqueja la shell local directament ja que està deshabilitat:
$ su – root
This account is currently not available.
Prova de validació sobre l’usuari “major”:
Si l’usuari major executa comandes de l’àrea assignada (xarxa o serveis), el sistema operarà correctament:
sudo systemctl restart networking
sudo ip link set dev eth0 up
Si l’usuari major intenta vulnerar el sistema o accedir a informació fora dels seus privilegis (com ara visualitzar el fitxer shadow), el mòdul de seguretat ho denegarà:
$ sudo cat /etc/shadow
Sorry, user major is not allowed to execute ‘/bin/cat /etc/shadow’ as root.
