aboutsummaryrefslogtreecommitdiff
path: root/es_ES.ISO8859-1/books/handbook/security/chapter.sgml
diff options
context:
space:
mode:
Diffstat (limited to 'es_ES.ISO8859-1/books/handbook/security/chapter.sgml')
-rwxr-xr-xes_ES.ISO8859-1/books/handbook/security/chapter.sgml5732
1 files changed, 2866 insertions, 2866 deletions
diff --git a/es_ES.ISO8859-1/books/handbook/security/chapter.sgml b/es_ES.ISO8859-1/books/handbook/security/chapter.sgml
index 709a435628..b1876be5e6 100755
--- a/es_ES.ISO8859-1/books/handbook/security/chapter.sgml
+++ b/es_ES.ISO8859-1/books/handbook/security/chapter.sgml
@@ -15,8 +15,8 @@
<author>
<firstname>Matthew</firstname>
<surname>Dillon</surname>
- <contrib>Gran parte del contenido de este cap�tulo
- procede de la p�gina de manual de security(7), de </contrib>
+ <contrib>Gran parte del contenido de este cap�tulo
+ procede de la p�gina de manual de security(7), de </contrib>
</author>
</authorgroup>
</chapterinfo>
@@ -27,18 +27,18 @@
<sect1 id="security-synopsis">
<title>Sinopsis</title>
- <para>Este cap�tulo contiene una introducci�n
- b�sica a los conceptos de seguridad del sistema, unas
- cuantas normas b�sicas de uso y algunos avanzados del
- tema en &os;. Muchos de los temas expuestos se aplican a la
- seguridad del sistema y de Internet en general.
- Internet ya no es aqu�l lugar <quote>amistoso</quote>
- en el que todo el mundo se comportaba como un buen ciudadano.
- Si quiere proteger sus datos, su propiedad intelectual, su tiempo
- y muchas m�s cosas de manos malintencionadas debe hacer
+ <para>Este cap�tulo contiene una introducci�n
+ b�sica a los conceptos de seguridad del sistema, unas
+ cuantas normas b�sicas de uso y algunos avanzados del
+ tema en &os;. Muchos de los temas expuestos se aplican a la
+ seguridad del sistema y de Internet en general.
+ Internet ya no es aqu�l lugar <quote>amistoso</quote>
+ en el que todo el mundo se comportaba como un buen ciudadano.
+ Si quiere proteger sus datos, su propiedad intelectual, su tiempo
+ y muchas m�s cosas de manos malintencionadas debe hacer
que su sistema sea seguro.</para>
- <para>&os; proporciona un variado arsenal de utilidades y mecanismos para
+ <para>&os; proporciona un variado arsenal de utilidades y mecanismos para
asegurar la integridad y la seguridad de su sistema y red.</para>
<para>Despu�s de leer este cap�tulo:
@@ -46,74 +46,74 @@
<itemizedlist>
<listitem>
- <para>conocer� conceptos b�sicos de la seguridad
+ <para>conocer� conceptos b�sicos de la seguridad
relacionados con &os;.
</para>
</listitem>
<listitem>
- <para>Tendr� informaci�n sobre los diversos mecanismos
- de cifrado disponibles en &os;, entre los cuales est�n
+ <para>Tendr� informaci�n sobre los diversos mecanismos
+ de cifrado disponibles en &os;, entre los cuales est�n
<acronym>DES</acronym> y <acronym>MD5</acronym>.
</para>
</listitem>
<listitem>
- <para>Sabr� c�mo configurar la autentificaci�n
+ <para>Sabr� c�mo configurar la autentificaci�n
de contrase�as de un solo uso.</para>
</listitem>
<listitem>
- <para>Sabr� c�mo configurar <acronym>TCP</acronym>
- Wrappers y usarlos con
+ <para>Sabr� c�mo configurar <acronym>TCP</acronym>
+ Wrappers y usarlos con
<command>inetd</command>.</para>
</listitem>
<listitem>
- <para>Sabr� c�mo instalar
- <application>KerberosIV</application> en versiones de &os;
+ <para>Sabr� c�mo instalar
+ <application>KerberosIV</application> en versiones de &os;
anteriores a 5.0.</para>
</listitem>
<listitem>
- <para>Sabr� c�mo instalar
- <application>Kerberos5</application> en versiones de &os;
+ <para>Sabr� c�mo instalar
+ <application>Kerberos5</application> en versiones de &os;
posteriores a 5.0.</para>
</listitem>
<listitem>
- <para>Podr� configurar IPsec y crear una
- <acronym>VPN</acronym> entre
+ <para>Podr� configurar IPsec y crear una
+ <acronym>VPN</acronym> entre
m�quinas &os;/&windows;.</para>
</listitem>
-
+
<listitem>
- <para>Sabr� c�mo configurar y utilizar
+ <para>Sabr� c�mo configurar y utilizar
<application>OpenSSH</application>,
la implementaci�n de <acronym>SSH</acronym> en &os;.</para>
</listitem>
<listitem>
- <para>Sabr� en qu� consisten las
- <acronym>ACL</acronym> del sistema de ficheros y c�mo
+ <para>Sabr� en qu� consisten las
+ <acronym>ACL</acronym> del sistema de ficheros y c�mo
utilizarlas.</para>
</listitem>
<listitem>
- <para>Sabr� c�mo usar
- <application>Portaudit</application>, con la que podr�
- auditar el software que instale desde la
+ <para>Sabr� c�mo usar
+ <application>Portaudit</application>, con la que podr�
+ auditar el software que instale desde la
desde la colecci�n de ports.</para>
</listitem>
<listitem>
- <para>Sabr� c�mo sacar partido de los avisos de
+ <para>Sabr� c�mo sacar partido de los avisos de
seguridad que publica &os;.</para>
</listitem>
<listitem>
- <para>Podr� hacerse una idea clara de en qu� consiste
- la contabilidad de procesos y de c�mo activarla en
+ <para>Podr� hacerse una idea clara de en qu� consiste
+ la contabilidad de procesos y de c�mo activarla en
&os;.</para>
</listitem>
</itemizedlist>
@@ -126,52 +126,52 @@
</listitem>
</itemizedlist>
- <para>En otras secciones de este manual se cubren aspectos adicionales
- sobre seguridad. Por ejemplo, MAC (controles de acceso obligatorio)
+ <para>En otras secciones de este manual se cubren aspectos adicionales
+ sobre seguridad. Por ejemplo, MAC (controles de acceso obligatorio)
se explica en el <xref
- linkend="mac"/> y los cortafuegos en el
+ linkend="mac"/> y los cortafuegos en el
<xref linkend="firewalls"/>.</para>
</sect1>
<sect1 id="security-intro">
<title>Introducci�n</title>
- <para>La seguridad es un trabajo que que comienza y termina en el
- administrador de sistema. Aunque que los sistemas multiusuario
- BSD &unix; posean una seguridad inherente, el trabajo de construir y
- mantener mecanismos de seguridad adicionales para que los
- usuarios sean a�n m�s <quote>honestos</quote> es
- probablemente una de las mayores tareas de la administraci�n
- de sistemas. Los sistemas son tan seguros como uno los haga, y
- no hay que olvidar que los problemas de seguridad compiten con la
- comodidad a la que tendemos los humanos. Los sistemas &unix;
- son capaces de ejecutar una gran cantidad de procesos
- simult�neamente, muchos de los cuales son servidores, lo que
- significa que las entidades externas pueden conectarse y
- <quote>hablar</quote> con ellos. Del mismo modo que las
- minicomputadoras de ayer se convirtieron en los sistemas de
- escritorio de hoy en d�a, la seguridad se va convirtiendo
+ <para>La seguridad es un trabajo que que comienza y termina en el
+ administrador de sistema. Aunque que los sistemas multiusuario
+ BSD &unix; posean una seguridad inherente, el trabajo de construir y
+ mantener mecanismos de seguridad adicionales para que los
+ usuarios sean a�n m�s <quote>honestos</quote> es
+ probablemente una de las mayores tareas de la administraci�n
+ de sistemas. Los sistemas son tan seguros como uno los haga, y
+ no hay que olvidar que los problemas de seguridad compiten con la
+ comodidad a la que tendemos los humanos. Los sistemas &unix;
+ son capaces de ejecutar una gran cantidad de procesos
+ simult�neamente, muchos de los cuales son servidores, lo que
+ significa que las entidades externas pueden conectarse y
+ <quote>hablar</quote> con ellos. Del mismo modo que las
+ minicomputadoras de ayer se convirtieron en los sistemas de
+ escritorio de hoy en d�a, la seguridad se va convirtiendo
en un problemas m�s y m�s acuciante.</para>
- <para>La seguridad bien entendida se implementa en capas, a la manera de
- una <quote>cebolla</quote>. B�sicamente lo que se hace es
- crear la mayor cantidad posible de capas de seguridad, para m�s
- tarde monitorizar el sistema en busca de intrusos. No es conveniente
- exagerar la seguridad, ya que interferir�a con la
- detecci�n, y la detecci�n es uno de los aspectos
- m�s importantes de cualquier mecanismo de seguridad.
- Por ejemplo, no tiene mucho sentido activar la bandera
- <literal>schg</literal> (consulte &man.chflags.1;) en cada binario del
- sistema, ya que aunque proteger�a en cierto modo los binarios,
- har�a que cualquier cambio que pudiera realizar un atacante
- una vez dentro del sistema fuera m�s dif�cil de detectar
+ <para>La seguridad bien entendida se implementa en capas, a la manera de
+ una <quote>cebolla</quote>. B�sicamente lo que se hace es
+ crear la mayor cantidad posible de capas de seguridad, para m�s
+ tarde monitorizar el sistema en busca de intrusos. No es conveniente
+ exagerar la seguridad, ya que interferir�a con la
+ detecci�n, y la detecci�n es uno de los aspectos
+ m�s importantes de cualquier mecanismo de seguridad.
+ Por ejemplo, no tiene mucho sentido activar la bandera
+ <literal>schg</literal> (consulte &man.chflags.1;) en cada binario del
+ sistema, ya que aunque proteger�a en cierto modo los binarios,
+ har�a que cualquier cambio que pudiera realizar un atacante
+ una vez dentro del sistema fuera m�s dif�cil de detectar
o incluso hacerlo del todo imposible.</para>
- <para>La seguridad del sistema depende tambi�n de estar preparados
- para distintos tipos de ataque, incluyendo intentos de
- <quote>tirar</quote> la m�quina o dejarla en un estado
- inutilizable, pero que no impliquen intentos de comprometer el usuario
- <username>root</username> Los problemas de seguridad pueden
+ <para>La seguridad del sistema depende tambi�n de estar preparados
+ para distintos tipos de ataque, incluyendo intentos de
+ <quote>tirar</quote> la m�quina o dejarla en un estado
+ inutilizable, pero que no impliquen intentos de comprometer el usuario
+ <username>root</username> Los problemas de seguridad pueden
dividirse en diferentes categor�as:</para>
<orderedlist>
@@ -193,7 +193,7 @@
</listitem>
<listitem>
- <para>Creaci�n de puertas traseras
+ <para>Creaci�n de puertas traseras
(<quote>Backdoors</quote>).</para>
</listitem>
</orderedlist>
@@ -209,21 +209,21 @@
</indexterm>
<indexterm><primary>Denegacion de servicio (DoS)</primary></indexterm>
- <para>Un ataque de denegaci�n de servicio es una acci�n que
- priva al sistema de los recursos requeridos para su funcionamiento
- normal. Generalmente, los ataques DoS son mecanismos de fuerza bruta
- que intentan <quote>tumbar</quote> el sistema o hacerlo inutilizable
- sobrecargando la capacidad de sus servidores o de la pila de red.
- Algunos ataques DoS intentan aprovechar errores en la pila de red
- para <quote>tumbar</quote> el sistema con un solo paquete.
- Estos �ltimos �nicamente pueden solucionarse aplicando
- al kernel una actualizaci�n que subsane el error.
- Los ataques a servidores muchas veces pueden solucionarse configurando
- las opciones apropiadas para limitar la carga del sistema en
- condiciones adversas. Los ataques de fuerza bruta a redes
- son m�s complicados. Los ataques con paquetes enmascarados,
- por ejemplo, son casi imposibles de detener, a menos que desconecte
- el sistema de Internet. Puede ser que no <quote>tiren</quote> el
+ <para>Un ataque de denegaci�n de servicio es una acci�n que
+ priva al sistema de los recursos requeridos para su funcionamiento
+ normal. Generalmente, los ataques DoS son mecanismos de fuerza bruta
+ que intentan <quote>tumbar</quote> el sistema o hacerlo inutilizable
+ sobrecargando la capacidad de sus servidores o de la pila de red.
+ Algunos ataques DoS intentan aprovechar errores en la pila de red
+ para <quote>tumbar</quote> el sistema con un solo paquete.
+ Estos �ltimos �nicamente pueden solucionarse aplicando
+ al kernel una actualizaci�n que subsane el error.
+ Los ataques a servidores muchas veces pueden solucionarse configurando
+ las opciones apropiadas para limitar la carga del sistema en
+ condiciones adversas. Los ataques de fuerza bruta a redes
+ son m�s complicados. Los ataques con paquetes enmascarados,
+ por ejemplo, son casi imposibles de detener, a menos que desconecte
+ el sistema de Internet. Puede ser que no <quote>tiren</quote> el
sistema, pero saturar�n la conexi�n a Internet.</para>
<indexterm>
@@ -231,34 +231,34 @@
<secondary>compromiso de cuentas</secondary>
</indexterm>
- <para>Comprometer una cuenta de usuario es mucho m�s com�n
+ <para>Comprometer una cuenta de usuario es mucho m�s com�n
que un ataque DoS. Muchos administradores de sistemas
- todav�a ejecutan servidores est�ndar
+ todav�a ejecutan servidores est�ndar
<application>telnetd</application>, <application>rlogind</application>,
<application>rshd</application> y <application>ftpd</application> en
- sus m�quinas.
- Estos servidores, por defecto no operan a trav�s de conexiones
- cifradas. El resultado es que se si se tiene una base de usuarios de
- tama�o medio, tarde o temprando la contrase�a de uno
- (o m�s) de sus usuarios ser� descubierta durante
- sus accesos al sistema desde ubicaciones remotas.(que es, por otra
- parte, la forma m�s com�n y m�s c�moda
- de acceder a un sistema). El administrador de sistemas atento
- analizar� sus logs de acceso remoto en busca de direcciones
+ sus m�quinas.
+ Estos servidores, por defecto no operan a trav�s de conexiones
+ cifradas. El resultado es que se si se tiene una base de usuarios de
+ tama�o medio, tarde o temprando la contrase�a de uno
+ (o m�s) de sus usuarios ser� descubierta durante
+ sus accesos al sistema desde ubicaciones remotas.(que es, por otra
+ parte, la forma m�s com�n y m�s c�moda
+ de acceder a un sistema). El administrador de sistemas atento
+ analizar� sus logs de acceso remoto en busca de direcciones
origen spspechosas, incluso entre los accesos al sistema.</para>
- <para>Se debe asumir <emphasis>siempre</emphasis> que, una vez que
- el atacante tiene acceso a una cuenta de usuario, el atacante
- puede comprometer la cuenta <username>root</username>. En realidad
- en un sistema bien mantenido y asegurado el acceso a una cuenta de
- usuario no necesariamente da al atacante acceso a
- <username>root</username>. Esta precisi�n es importante
- porque sin acceso a <username>root</username> el atacante
- dif�cilmente podr� esconder sus huellas; podr�,
- como mucho, hacer poco m�s que sembrar el caos en los ficheros
- del usuario o <quote>tirar</quote> la m�quina.
- Comprometer cuentas de usuario es muy com�n porque los
- usuarios tienden a no tomar las precauciones que toma el
+ <para>Se debe asumir <emphasis>siempre</emphasis> que, una vez que
+ el atacante tiene acceso a una cuenta de usuario, el atacante
+ puede comprometer la cuenta <username>root</username>. En realidad
+ en un sistema bien mantenido y asegurado el acceso a una cuenta de
+ usuario no necesariamente da al atacante acceso a
+ <username>root</username>. Esta precisi�n es importante
+ porque sin acceso a <username>root</username> el atacante
+ dif�cilmente podr� esconder sus huellas; podr�,
+ como mucho, hacer poco m�s que sembrar el caos en los ficheros
+ del usuario o <quote>tirar</quote> la m�quina.
+ Comprometer cuentas de usuario es muy com�n porque los
+ usuarios tienden a no tomar las precauciones que toma el
administrador.</para>
<indexterm>
@@ -266,44 +266,44 @@
<secondary>puertas traseras</secondary>
</indexterm>
- <para>Los administradores de sistemas deben tener presente que
- existen muchas formas potenciales de comprometer la cuenta
+ <para>Los administradores de sistemas deben tener presente que
+ existen muchas formas potenciales de comprometer la cuenta
<username>root</username> de una m�quina. El atacante puede
- conocer la contrase�a de <username>root</username>, el
- atacante puede encontrar un error en un servidor que se ejecuta
- como root y ser capaz de comprometer <username>root</username> a
- trav�s de una conexi�n de red a ese servidor; puede
- ser que el atacante sepa de la existencia de un error en un
- programa suid-root que le permita comprometer
- <username>root</username> una vez dentro de una cuenta de usuario.
- Si un atacante encuentra la manera de comprometer la cuenta
- <username>root</username> de una m�quina puede que no
- necesite instalar una puerta trasera. Muchos de
- los agujeros <username>root</username> encontrados y cerrados hasta
- la fecha implican una cantidad considerable de trabajo para el atacante
- limpiando todo despu�s del ataque, as� que
- la mayor�a de los atacantes instalan puertas traseras.
- Una puerta trasera facilita al atacante una forma sencilla de
- recuperar el acceso de <username>root</username> al sistema,
- pero tambi�n proporciona al administrador de sistemas
- inteligente una forma de detectar la intrusi�n. Si hace
- imposible a un atacante la instalaci�n de una puerta
- trasera puede estar actuando en detrimento de su seguridad, porque
+ conocer la contrase�a de <username>root</username>, el
+ atacante puede encontrar un error en un servidor que se ejecuta
+ como root y ser capaz de comprometer <username>root</username> a
+ trav�s de una conexi�n de red a ese servidor; puede
+ ser que el atacante sepa de la existencia de un error en un
+ programa suid-root que le permita comprometer
+ <username>root</username> una vez dentro de una cuenta de usuario.
+ Si un atacante encuentra la manera de comprometer la cuenta
+ <username>root</username> de una m�quina puede que no
+ necesite instalar una puerta trasera. Muchos de
+ los agujeros <username>root</username> encontrados y cerrados hasta
+ la fecha implican una cantidad considerable de trabajo para el atacante
+ limpiando todo despu�s del ataque, as� que
+ la mayor�a de los atacantes instalan puertas traseras.
+ Una puerta trasera facilita al atacante una forma sencilla de
+ recuperar el acceso de <username>root</username> al sistema,
+ pero tambi�n proporciona al administrador de sistemas
+ inteligente una forma de detectar la intrusi�n. Si hace
+ imposible a un atacante la instalaci�n de una puerta
+ trasera puede estar actuando en detrimento de su seguridad, porque
no cerrar� el agujero que el atacante encontr�
para accder al sistema la primera vez que lo hizo.</para>
-
- <para>Las medidas de seguridad se implementan en un modelo
- multicapa (tipo <quote>cebolla</quote>), que puede categorizarse
+
+ <para>Las medidas de seguridad se implementan en un modelo
+ multicapa (tipo <quote>cebolla</quote>), que puede categorizarse
del siguiente modo:</para>
<orderedlist>
<listitem>
- <para>Asegurar <username>root</username> y cuentas
+ <para>Asegurar <username>root</username> y cuentas
administrativas.</para>
</listitem>
<listitem>
- <para>Asegurar los servidores que se ejecuten como
+ <para>Asegurar los servidores que se ejecuten como
<username>root</username> los binarios suid/sgid.</para>
</listitem>
@@ -316,12 +316,12 @@
</listitem>
<listitem>
- <para>Asegurar el n�cleo del kernel, los dispositivos
+ <para>Asegurar el n�cleo del kernel, los dispositivos
en bruto y el sistema de ficheros.</para>
</listitem>
<listitem>
- <para>Detecci�n r�pida de cambios
+ <para>Detecci�n r�pida de cambios
hechos al sistema.</para>
</listitem>
@@ -330,7 +330,7 @@
</listitem>
</orderedlist>
- <para>La siguiente secci�n de este cap�tulo tratar�
+ <para>La siguiente secci�n de este cap�tulo tratar�
los puntos de arriba con mayor profundidad.</para>
</sect1>
@@ -343,95 +343,95 @@
<note>
<title>Orden vs. protocolo</title>
- <para>En este cap�tulo usaremos el texto en
- <application>negrita</application> para referirnos a una orden o
- aplicaci�n, y una fuente en <command>cursiva</command> para
- referirnos a �rdenes espec�ficas. Usaremos un tipo normal
- para los protocolos. Esta diferencia tipogr�fica nos
- ser� �til por ejemplo con ssh, que es tanto un
+ <para>En este cap�tulo usaremos el texto en
+ <application>negrita</application> para referirnos a una orden o
+ aplicaci�n, y una fuente en <command>cursiva</command> para
+ referirnos a �rdenes espec�ficas. Usaremos un tipo normal
+ para los protocolos. Esta diferencia tipogr�fica nos
+ ser� �til por ejemplo con ssh, que es tanto un
protocolo como una orden.</para>
</note>
- <para>Las siguientes secciones cubren los m�todos a seguir para
- asegurar su sistema &os; que se mencionados en la
- <link linkend="security-intro"> secci�n anterior</link> de este
+ <para>Las siguientes secciones cubren los m�todos a seguir para
+ asegurar su sistema &os; que se mencionados en la
+ <link linkend="security-intro"> secci�n anterior</link> de este
cap�tulo.</para>
<sect2 id="securing-root-and-staff">
- <title>Asegurar la cuenta <username>root</username> y las
+ <title>Asegurar la cuenta <username>root</username> y las
cuentas administrativas</title>
<indexterm>
<primary><command>su</command></primary>
</indexterm>
- <para>En primer lugar, no se moleste en asegurar las cuentas
- administrativas (o <quote>staff</quote>) si no ha asegurado la
- cuenta <username>root</username>.
- La mayor�a de los sistemas tienen una contrase�a
- asignada para la cuenta <username>root</username>. Lo primero que
- se hace es asumir que la contrase�a est�
- <emphasis>siempre</emphasis> amenazada.
- Esto no significa que deba eliminar la contrase�a. La
- contrase�a es casi siempre necesaria para el acceso por
- consola a la m�quina; significa que no se debe permitir
- el uso de la contrase�a fuera de la consola o, mejor
- a�n, mediante &man.su.1;. Por ejemplo,
- aseg�rese de que sus ptys aparezcan como
- <emphasis>inseguras</emphasis> en el fichero
- <filename>/etc/ttys</filename>, con lo que har� que
- los accesos como <username>root</username> v�a
- <command>telnet</command> o <command>rlogin</command> no sean
- posibles.
- Si utiliza otros tipos de login como
- <application>sshd</application> aseg�rese de que
+ <para>En primer lugar, no se moleste en asegurar las cuentas
+ administrativas (o <quote>staff</quote>) si no ha asegurado la
+ cuenta <username>root</username>.
+ La mayor�a de los sistemas tienen una contrase�a
+ asignada para la cuenta <username>root</username>. Lo primero que
+ se hace es asumir que la contrase�a est�
+ <emphasis>siempre</emphasis> amenazada.
+ Esto no significa que deba eliminar la contrase�a. La
+ contrase�a es casi siempre necesaria para el acceso por
+ consola a la m�quina; significa que no se debe permitir
+ el uso de la contrase�a fuera de la consola o, mejor
+ a�n, mediante &man.su.1;. Por ejemplo,
+ aseg�rese de que sus ptys aparezcan como
+ <emphasis>inseguras</emphasis> en el fichero
+ <filename>/etc/ttys</filename>, con lo que har� que
+ los accesos como <username>root</username> v�a
+ <command>telnet</command> o <command>rlogin</command> no sean
+ posibles.
+ Si utiliza otros tipos de login como
+ <application>sshd</application> aseg�rese de que
los accesos al sistema como <username>root</username>
- est�n tambi�n deshabilitados.
- Para ello edite su
- <filename>/etc/ssh/sshd_config</filename> y aseg�rese de
- que <literal>PermitRootLogin</literal> est� puesto a
- <literal>NO</literal>. Estudie cada m�todo de acceso:
- hay servicios como FTP que frecuentemente son origen de grietas
- en la estructura del sistema. El acceso directo como usuario
- <username>root</username> s�lamente debe permitirse
+ est�n tambi�n deshabilitados.
+ Para ello edite su
+ <filename>/etc/ssh/sshd_config</filename> y aseg�rese de
+ que <literal>PermitRootLogin</literal> est� puesto a
+ <literal>NO</literal>. Estudie cada m�todo de acceso:
+ hay servicios como FTP que frecuentemente son origen de grietas
+ en la estructura del sistema. El acceso directo como usuario
+ <username>root</username> s�lamente debe permitirse
a trav�s de la consola.</para>
<indexterm>
<primary><groupname>wheel</groupname></primary>
</indexterm>
- <para>Es evidente que, como administrador del sistema, debe usted
- tener la posibilidad de acceder a <username>root</username>,
- as� que tendr� que abrir algunos agujeros, pero
- debe asegurarse de que estos agujeros necesiten contrase�as
- adicionales para verificar su correcto uso. Puede hacer
- que <username>root</username> sea accesible a�adiendo
- cuentas administrativas al grupo
- <groupname>wheel</groupname> (en
- <filename>/etc/group</filename>). El personal que administra los
- sistemas que aparezcan en el grupo
- en el grupo <groupname>wheel</groupname> pueden hacer
- <command>su</command> a <username>root</username>.
- Nunca debe de proporcionar al personal administrativo el acceso
- nativo a <groupname>wheel</groupname> poni�ndolos
- en el grupo <groupname>wheel</groupname> en su entrada de
- contrase�a. Las cuentas administrativas deben colocarse
- en un grupo <groupname>staff</groupname>, y agregarse
- despu�s al grupo <groupname>wheel</groupname> en
- <filename>/etc/group</filename>. S�lo aquellos
- administradores que realmente necesiten acceder a
- <username>root</username> deben pertenecer al grupo
- <groupname>wheel</groupname>. Tambi�n es posible,
- mediante un m�todo de autentificaci�n como
- Kerberos, usar el fichero <filename>.k5login</filename> en
- la cuenta <username>root</username> para permitir un
- &man.ksu.1; a <username>root</username> sin tener que
- colocar a nadie en el grupo
- <groupname>wheel</groupname>. Puede ser una mejor soluci�n,
- ya que el mecanismo <groupname>wheel</groupname> a�n
- permite a un atacante comprometer <username>root</username>
- si el intruso ha conseguido el fichero de contrase�as
- y puede comprometer una cuenta de administraci�n.
- Recurrir al mecanismo <groupname>wheel</groupname> es mejor que
- no tener nada, pero no es necesariamente la opci�n
+ <para>Es evidente que, como administrador del sistema, debe usted
+ tener la posibilidad de acceder a <username>root</username>,
+ as� que tendr� que abrir algunos agujeros, pero
+ debe asegurarse de que estos agujeros necesiten contrase�as
+ adicionales para verificar su correcto uso. Puede hacer
+ que <username>root</username> sea accesible a�adiendo
+ cuentas administrativas al grupo
+ <groupname>wheel</groupname> (en
+ <filename>/etc/group</filename>). El personal que administra los
+ sistemas que aparezcan en el grupo
+ en el grupo <groupname>wheel</groupname> pueden hacer
+ <command>su</command> a <username>root</username>.
+ Nunca debe de proporcionar al personal administrativo el acceso
+ nativo a <groupname>wheel</groupname> poni�ndolos
+ en el grupo <groupname>wheel</groupname> en su entrada de
+ contrase�a. Las cuentas administrativas deben colocarse
+ en un grupo <groupname>staff</groupname>, y agregarse
+ despu�s al grupo <groupname>wheel</groupname> en
+ <filename>/etc/group</filename>. S�lo aquellos
+ administradores que realmente necesiten acceder a
+ <username>root</username> deben pertenecer al grupo
+ <groupname>wheel</groupname>. Tambi�n es posible,
+ mediante un m�todo de autentificaci�n como
+ Kerberos, usar el fichero <filename>.k5login</filename> en
+ la cuenta <username>root</username> para permitir un
+ &man.ksu.1; a <username>root</username> sin tener que
+ colocar a nadie en el grupo
+ <groupname>wheel</groupname>. Puede ser una mejor soluci�n,
+ ya que el mecanismo <groupname>wheel</groupname> a�n
+ permite a un atacante comprometer <username>root</username>
+ si el intruso ha conseguido el fichero de contrase�as
+ y puede comprometer una cuenta de administraci�n.
+ Recurrir al mecanismo <groupname>wheel</groupname> es mejor que
+ no tener nada, pero no es necesariamente la opci�n
m�s segura.</para>
<!-- XXX:
@@ -440,17 +440,17 @@
need of a rewrite, but we'll have to wait and see. ceri@
-->
- <para>Una manera indirecta de asegurar las cuentas de staff y
- el acceso a <username>root</username> es utilizar un m�todo
- de acceso alternativo: es lo que se conoce como
- <quote>estrellar</quote> las contrase�as cifradas de las
- cuentas administrativas. Use &man.vipw.8; para reemplazar
- cada contrase�a cifrada por un s�lo caracter
- asterisco (<quote><literal>*</literal></quote>). Esto
- actualizar�
- <filename>/etc/master.passwd</filename> y la base de datos de
- usuario/contrase�a y deshabilitar� los accesos
- al sistema validados mediante
+ <para>Una manera indirecta de asegurar las cuentas de staff y
+ el acceso a <username>root</username> es utilizar un m�todo
+ de acceso alternativo: es lo que se conoce como
+ <quote>estrellar</quote> las contrase�as cifradas de las
+ cuentas administrativas. Use &man.vipw.8; para reemplazar
+ cada contrase�a cifrada por un s�lo caracter
+ asterisco (<quote><literal>*</literal></quote>). Esto
+ actualizar�
+ <filename>/etc/master.passwd</filename> y la base de datos de
+ usuario/contrase�a y deshabilitar� los accesos
+ al sistema validados mediante
contrase�as.</para>
<para>Veamos una cuenta administrativa t�pica:</para>
@@ -461,67 +461,67 @@
<programlisting>foobar:*:1000:1000::0:0:Foo Bar:/home/foobar:/usr/local/bin/tcsh</programlisting>
- <para>Este cambio evitar� que se efect�en logins normales,
- ya que la contrase�a cifrada nunca se corresponder�
- con <quote><literal>*</literal></quote>. Hecho esto, el personal
- de administraci�n tendr� que usar otro mecanismo
- de validaci�n como &man.kerberos.1; o
- &man.ssh.1; que use un par de llave p�blica/privada.
- Si decide usar algo como Kerberos tendr� que asegurar
- la m�quina que ejecuta los servidores Kerberos
- y su estaci�n de trabajo. Si usa un par de llave
- p�blica/privada con ssh, debe asegurar la
- m�quina <emphasis>desde</emphasis> desde la que se hace el
- login (normalmente nuestra estaci�n de trabajo). Puede
- a�adir una capa adicional de protecci�n al par de
- llaves protegi�ndolas con contrase�a al crearlo
- con &man.ssh-keygen.1;.
- El <quote>estrellado</quote> de las contrase�as
- administrativas tambi�n garantiza que dicho personal
- s�lo pueda entrar a trav�s de m�todos de
- acceso que haya usted configurado. As� obligar�
+ <para>Este cambio evitar� que se efect�en logins normales,
+ ya que la contrase�a cifrada nunca se corresponder�
+ con <quote><literal>*</literal></quote>. Hecho esto, el personal
+ de administraci�n tendr� que usar otro mecanismo
+ de validaci�n como &man.kerberos.1; o
+ &man.ssh.1; que use un par de llave p�blica/privada.
+ Si decide usar algo como Kerberos tendr� que asegurar
+ la m�quina que ejecuta los servidores Kerberos
+ y su estaci�n de trabajo. Si usa un par de llave
+ p�blica/privada con ssh, debe asegurar la
+ m�quina <emphasis>desde</emphasis> desde la que se hace el
+ login (normalmente nuestra estaci�n de trabajo). Puede
+ a�adir una capa adicional de protecci�n al par de
+ llaves protegi�ndolas con contrase�a al crearlo
+ con &man.ssh-keygen.1;.
+ El <quote>estrellado</quote> de las contrase�as
+ administrativas tambi�n garantiza que dicho personal
+ s�lo pueda entrar a trav�s de m�todos de
+ acceso que haya usted configurado. As� obligar�
al personal administrativo a usar conexiones seguras, cifradas,
- en todas sus sesiones, lo que cierra un importante agujero
- de seguridad al que recurren muchos intrusos: usar un
- sniffer (olfateador) de red desde una m�quina que le
+ en todas sus sesiones, lo que cierra un importante agujero
+ de seguridad al que recurren muchos intrusos: usar un
+ sniffer (olfateador) de red desde una m�quina que le
permita hacer tal cosa.</para>
-
- <para>Los mecanismos de seguridad m�s indirectos tambi�n
- asumen que est� validando su identidad desde un servidor
- m�s restrictivo un servidor menos restrictivo.
- Por ejemplo, si su m�quina principal ejecuta toda clase de
- servidores su estaci�n de trabajo no debe ejecutar ninguno.
- Para que su estaci�n de trabajo sea razonablemente segura
- debe ejecutar los m�nimos servidores posibles, si es posible
- ninguno, y debe usar un salvapantallas protegido por
- contrase�a. Es evidente que un atancante con acceso
- f�sico al sistema puede romper cualquier barrera de seguridad
- que se disponga. Es un problema a tener en cuenta, pero la
- mayor�a de las intrusiones tienen lugar de forma remota,
- a trav�s de la red, por parte de gente que no tiene acceso
- f�sico a su estaci�n de trabajo ni a sus
- servidores.</para>
+
+ <para>Los mecanismos de seguridad m�s indirectos tambi�n
+ asumen que est� validando su identidad desde un servidor
+ m�s restrictivo un servidor menos restrictivo.
+ Por ejemplo, si su m�quina principal ejecuta toda clase de
+ servidores su estaci�n de trabajo no debe ejecutar ninguno.
+ Para que su estaci�n de trabajo sea razonablemente segura
+ debe ejecutar los m�nimos servidores posibles, si es posible
+ ninguno, y debe usar un salvapantallas protegido por
+ contrase�a. Es evidente que un atancante con acceso
+ f�sico al sistema puede romper cualquier barrera de seguridad
+ que se disponga. Es un problema a tener en cuenta, pero la
+ mayor�a de las intrusiones tienen lugar de forma remota,
+ a trav�s de la red, por parte de gente que no tiene acceso
+ f�sico a su estaci�n de trabajo ni a sus
+ servidores.</para>
<indexterm><primary>KerberosIV</primary></indexterm>
- <para>Usar Kerberos le ofrece tambi�n el poder
- de deshabilitar o cambiar la contrase�a para una cuenta
- administrativa en un lugar, y que tenga un efecto inmediato en todas
- las m�quinas en las cuales ese administrador pueda
- tener una cuenta. Si una de esas cuentas se ve comprometida
- la posibilidad para cambiar instant�neamente su
- contrase�a en todas las m�quinas no debe ser
- desestimada. Con contrase�as distintas, el cambio
- de una contrase�a en N m�quinas puede ser un
- problema. Tambi�n puede imponer restricciones de
- re-contrase�as con Kerberos: no s�lo se puede
- hacer un ticket de Kerberos que expire despu�s de un
- tiempo, sino que el sistema Kerberos puede requerir al usuario
- que escoja una nueva contrase�a despu�s de cierto
+ <para>Usar Kerberos le ofrece tambi�n el poder
+ de deshabilitar o cambiar la contrase�a para una cuenta
+ administrativa en un lugar, y que tenga un efecto inmediato en todas
+ las m�quinas en las cuales ese administrador pueda
+ tener una cuenta. Si una de esas cuentas se ve comprometida
+ la posibilidad para cambiar instant�neamente su
+ contrase�a en todas las m�quinas no debe ser
+ desestimada. Con contrase�as distintas, el cambio
+ de una contrase�a en N m�quinas puede ser un
+ problema. Tambi�n puede imponer restricciones de
+ re-contrase�as con Kerberos: no s�lo se puede
+ hacer un ticket de Kerberos que expire despu�s de un
+ tiempo, sino que el sistema Kerberos puede requerir al usuario
+ que escoja una nueva contrase�a despu�s de cierto
tiempo (digamos una vez al mes).</para>
</sect2>
<sect2>
- <title>Asegurar servidores que se ejecutan como
+ <title>Asegurar servidores que se ejecutan como
<username>root</username>
y binarios SUID/SGID</title>
@@ -550,349 +550,349 @@
<primary><application>rlogind</application></primary>
</indexterm>
- <para>Un administrador de sistemas prudente s�lo
- ejecutar� los servidores que necesita, ni uno m�s
- ni uno menos. Dese cuenta de que los servidores ajenos son
- los m�s propensos a contener errores. Por ejemplo,
- ejecutando una versi�n desfasada de
- <application>imapd</application> o
- <application>popper</application> es como dar una entrada universal
- de <username>root</username> al mundo entero.
- Nunca ejecute un servidor que no haya revisado cuidadosamente.
- Muchos servidores no necesitan ejecutarse como
- <username>root</username>. Por ejemplo, los d&aelig;mons
- <application>ntalk</application>,
- <application>comsat</application> y
- <application>finger</application> pueden ejecutarse en una
- <firstterm>caja de arena (sandbox)</firstterm> especial de usuario.
- Una caja de arena no es perfecta, a menos que pase por muchos
- problemas, pero la aproximaci�n de cebolla a la seguridad
- prevalece a�n y todo: Si alguien es capaz de penetrar a
- trav�s de un servidor ejecut�ndose en una caja
- de arena, todav�a tendr� que salir de la caja de
- arena. Cuantas m�s capas tenga que romper el atacante
- menor ser� la posibilidad de �xito que tenga.
- Se han encontrado v�as de entrada a
- <username>root</username> en virtualmente todos los servidores
- que se haya ejecutado como <username>root</username>,
- incluyendo servidores b�sicos del sistema.
- Si est� tiene una m�quina a trav�s de
- la cual la gente s�lo entra por
- <application>sshd</application>, y nunca entra por
- <application>telnetd</application>,
- <application>rshd</application>, o
- <application>rlogind</application>
+ <para>Un administrador de sistemas prudente s�lo
+ ejecutar� los servidores que necesita, ni uno m�s
+ ni uno menos. Dese cuenta de que los servidores ajenos son
+ los m�s propensos a contener errores. Por ejemplo,
+ ejecutando una versi�n desfasada de
+ <application>imapd</application> o
+ <application>popper</application> es como dar una entrada universal
+ de <username>root</username> al mundo entero.
+ Nunca ejecute un servidor que no haya revisado cuidadosamente.
+ Muchos servidores no necesitan ejecutarse como
+ <username>root</username>. Por ejemplo, los d&aelig;mons
+ <application>ntalk</application>,
+ <application>comsat</application> y
+ <application>finger</application> pueden ejecutarse en una
+ <firstterm>caja de arena (sandbox)</firstterm> especial de usuario.
+ Una caja de arena no es perfecta, a menos que pase por muchos
+ problemas, pero la aproximaci�n de cebolla a la seguridad
+ prevalece a�n y todo: Si alguien es capaz de penetrar a
+ trav�s de un servidor ejecut�ndose en una caja
+ de arena, todav�a tendr� que salir de la caja de
+ arena. Cuantas m�s capas tenga que romper el atacante
+ menor ser� la posibilidad de �xito que tenga.
+ Se han encontrado v�as de entrada a
+ <username>root</username> en virtualmente todos los servidores
+ que se haya ejecutado como <username>root</username>,
+ incluyendo servidores b�sicos del sistema.
+ Si est� tiene una m�quina a trav�s de
+ la cual la gente s�lo entra por
+ <application>sshd</application>, y nunca entra por
+ <application>telnetd</application>,
+ <application>rshd</application>, o
+ <application>rlogind</application>
<emphasis>apague esos servicios</emphasis>.</para>
-
- <para>&os; ejecuta por defecto
- <application>ntalkd</application>,
- <application>comsat</application> y
- <application>finger</application> en una caja de arena.
- Otro programa que puede ser candidato para ejecutarse en una
- caja de arena es &man.named.8;.
- <filename>/etc/defaults/rc.conf</filename> contiene las directrices
- necesarias (con comentarios) para usar <application>named</application>
- en una caja de arena. Dependiendo de si
- est� instalando un nuevo sistema o actualizando un sistema
- ya existente, las cuentas especiales de usuario que usan
- estas cajas de arena puede que no est�n instaladas.
- El administrador de sistemas prudente debe investigar e
+
+ <para>&os; ejecuta por defecto
+ <application>ntalkd</application>,
+ <application>comsat</application> y
+ <application>finger</application> en una caja de arena.
+ Otro programa que puede ser candidato para ejecutarse en una
+ caja de arena es &man.named.8;.
+ <filename>/etc/defaults/rc.conf</filename> contiene las directrices
+ necesarias (con comentarios) para usar <application>named</application>
+ en una caja de arena. Dependiendo de si
+ est� instalando un nuevo sistema o actualizando un sistema
+ ya existente, las cuentas especiales de usuario que usan
+ estas cajas de arena puede que no est�n instaladas.
+ El administrador de sistemas prudente debe investigar e
implementar cajas de arena para servidores siempre que sea
posible.</para>
<indexterm>
<primary><application>sendmail</application></primary>
</indexterm>
- <para>Existen numerosos servidores que no se suelen
- ejecutar en cajas de arena:
- <application>sendmail</application>,
- <application>imapd</application>, <application>ftpd</application>,
- y otros. Existen alternativas para algunos de ellos, pero
- instalarlas puede requerir m�s trabajo del que tal vez
- est� dispuesto a realizar (el factor comodidad ataca de
- nuevo). Tal vez tenga que ejecutar estos servidores como
- <username>root</username> y depender de otros mecanismos para
- detectar intrusiones que puedan tener lugar a trav�s de
+ <para>Existen numerosos servidores que no se suelen
+ ejecutar en cajas de arena:
+ <application>sendmail</application>,
+ <application>imapd</application>, <application>ftpd</application>,
+ y otros. Existen alternativas para algunos de ellos, pero
+ instalarlas puede requerir m�s trabajo del que tal vez
+ est� dispuesto a realizar (el factor comodidad ataca de
+ nuevo). Tal vez tenga que ejecutar estos servidores como
+ <username>root</username> y depender de otros mecanismos para
+ detectar intrusiones que puedan tener lugar a trav�s de
ellos.</para>
- <para>Los otros grandes agujeros potenciales de
- <username>root</username> que encontramos en un sistema son los
- binarios suid-root y sgid. La mayor�a
- de estos binarios, como <application>rlogin</application>,
- est�n en <filename>/bin</filename>, <filename>/sbin</filename>,
- <filename>/usr/bin</filename> o <filename>/usr/sbin</filename>.
- Aunque no hay nada absolutamente seguro los binarios suid y sgid
- del sistema por defecto pueden considerarse razonablemente
- seguros. A�n as�, de vez en cuando aparecen
- agujeros <username>root</username> en estos binarios.
- En 1998 se encontr� un agujero
- <username>root</username> en
- <literal>Xlib</literal>, que hac�a a
- <application>xterm</application> (que suele ser suid)
- vulnerable. Es mejor prevenir que curar, y el administrador de
- sistemas prudente restringir� los binarios suid, que
- s�lo el personal de administraci�n debe ejecutar,
- a un grupo especial al que s�lo dicho personal pueda acceder,
- y deshacerse de cualquier binario suid
- (<command>chmod 000</command>) que no se use.
- Un servidor sin pantalla generalmente no necesita un binario
- <application>xterm</application>. Los binarios sgid pueden ser
- igual de peligrosos. Si un intruso logra comprometer un binario
- sgid-kmem, el intruso podr�a leer
- <filename>/dev/kmem</filename> y llegar a leer el fichero
- cifrado de contrase�as, poniendo en compromiso potencial
- cualquier cuenta con contrase�a. Por otra parte, un intruso
- que comprometa el grupo <literal>kmem</literal> puede monitorizar
- las pulsaciones de teclado que se envien a trav�s de ptys,
- incluyendo las ptys a las que acceden usuarios que emplean
- m�todos seguros. Un intruso que comprometa el grupo
- <groupname>tty</groupname> puede escribir en la pty de casi
- cualquier usuario. Si un usuario ejecuta un programa de terminal
- o un emulador capaz de simular un teclado, el intruso podr�a
- generar un flujo de datos que provoque que la terminal del
- usuario muestre una orden en pantalla, orden que el usuario
+ <para>Los otros grandes agujeros potenciales de
+ <username>root</username> que encontramos en un sistema son los
+ binarios suid-root y sgid. La mayor�a
+ de estos binarios, como <application>rlogin</application>,
+ est�n en <filename>/bin</filename>, <filename>/sbin</filename>,
+ <filename>/usr/bin</filename> o <filename>/usr/sbin</filename>.
+ Aunque no hay nada absolutamente seguro los binarios suid y sgid
+ del sistema por defecto pueden considerarse razonablemente
+ seguros. A�n as�, de vez en cuando aparecen
+ agujeros <username>root</username> en estos binarios.
+ En 1998 se encontr� un agujero
+ <username>root</username> en
+ <literal>Xlib</literal>, que hac�a a
+ <application>xterm</application> (que suele ser suid)
+ vulnerable. Es mejor prevenir que curar, y el administrador de
+ sistemas prudente restringir� los binarios suid, que
+ s�lo el personal de administraci�n debe ejecutar,
+ a un grupo especial al que s�lo dicho personal pueda acceder,
+ y deshacerse de cualquier binario suid
+ (<command>chmod 000</command>) que no se use.
+ Un servidor sin pantalla generalmente no necesita un binario
+ <application>xterm</application>. Los binarios sgid pueden ser
+ igual de peligrosos. Si un intruso logra comprometer un binario
+ sgid-kmem, el intruso podr�a leer
+ <filename>/dev/kmem</filename> y llegar a leer el fichero
+ cifrado de contrase�as, poniendo en compromiso potencial
+ cualquier cuenta con contrase�a. Por otra parte, un intruso
+ que comprometa el grupo <literal>kmem</literal> puede monitorizar
+ las pulsaciones de teclado que se envien a trav�s de ptys,
+ incluyendo las ptys a las que acceden usuarios que emplean
+ m�todos seguros. Un intruso que comprometa el grupo
+ <groupname>tty</groupname> puede escribir en la pty de casi
+ cualquier usuario. Si un usuario ejecuta un programa de terminal
+ o un emulador capaz de simular un teclado, el intruso podr�a
+ generar un flujo de datos que provoque que la terminal del
+ usuario muestre una orden en pantalla, orden que el usuario
ejecutar�.</para>
</sect2>
<sect2 id="secure-users">
<title>Asegurar las cuentas de usuario</title>
- <para>Las cuentas de usuario suelen ser las m�s
- dif�ciles de asegurar. Aunque puede imponer restricciones
- de acceso draconianas a su personal administrativo y
- <quote>estrellar</quote> sus contrase�as, tal vez no pueda
- hacerlo con todas las cuentas de todos sus usuarios. Si mantiene
- el control en un grado suficiente quiz�s lo logre y sea
- capaz de hacer que las cuentas de sus usuarios sean seguras. Si no,
- tendr� que ser m�s cuidadoso (a�n) en la
- monitorizaci�n de esas cuentas. Usar ssh y Kerberos en
- cuentas de usuario da m�s problemas debido al soporte
- t�cnico y administrativo que requerir�, pero sigue
- siendo mejor soluci�n que un fichero de
+ <para>Las cuentas de usuario suelen ser las m�s
+ dif�ciles de asegurar. Aunque puede imponer restricciones
+ de acceso draconianas a su personal administrativo y
+ <quote>estrellar</quote> sus contrase�as, tal vez no pueda
+ hacerlo con todas las cuentas de todos sus usuarios. Si mantiene
+ el control en un grado suficiente quiz�s lo logre y sea
+ capaz de hacer que las cuentas de sus usuarios sean seguras. Si no,
+ tendr� que ser m�s cuidadoso (a�n) en la
+ monitorizaci�n de esas cuentas. Usar ssh y Kerberos en
+ cuentas de usuario da m�s problemas debido al soporte
+ t�cnico y administrativo que requerir�, pero sigue
+ siendo mejor soluci�n que un fichero de
contrase�as cifradas.</para>
</sect2>
<sect2>
<title>Asegurar el fichero de contrase�as</title>
- <para>La �nica manera segura es ponerle <literal>*</literal>
- a tantas contrase�as como sea posible y utilizar ssh o
- Kerberos para acceder a esas cuentas. Aunque el fichero
- cifrado de contrase�as (<filename>/etc/spwd.db</filename>)
- s�lo puede ser legible para <username>root</username>, puede
- que un intruso consiga acceso de lectura a ese fichero, incluso sin
+ <para>La �nica manera segura es ponerle <literal>*</literal>
+ a tantas contrase�as como sea posible y utilizar ssh o
+ Kerberos para acceder a esas cuentas. Aunque el fichero
+ cifrado de contrase�as (<filename>/etc/spwd.db</filename>)
+ s�lo puede ser legible para <username>root</username>, puede
+ que un intruso consiga acceso de lectura a ese fichero, incluso sin
haber alcanzado el acceso de escritura como root.</para>
- <para>Sus <quote>scripts</quote> de seguridad deben buscar siempre
- cambios en el fichero de contrase�as
- (consulte <link linkend="security-integrity">Revisi�n de
- integridad de ficheros</link> m�s abajo) e informar de
+ <para>Sus <quote>scripts</quote> de seguridad deben buscar siempre
+ cambios en el fichero de contrase�as
+ (consulte <link linkend="security-integrity">Revisi�n de
+ integridad de ficheros</link> m�s abajo) e informar de
ellos.</para>
</sect2>
<sect2>
- <title>Asegurar el Kernel, dispositivos en bruto y el sistema
+ <title>Asegurar el Kernel, dispositivos en bruto y el sistema
sistema de ficheros</title>
- <para>Si un atacante compromete <username>root</username> puede
- hacer cualquier cosa, pero hay ciertas cosas que puede usted
- preparar para <quote>curarse en salud</quote>. Por ejemplo,
- la mayor�a de los kernel modernos tienen un dispositivo
- de los Kernels modernos tienen un integrado un
- dispositivo de paquetes. En &os; se llama
- <devicename>bpf</devicename>. Un intruso t�pico
- tratar� de ejecutar un <quote>sniffer</quote> de paquetes
- en una m�quina comprometida. No deber�a darle a
- ese intruso tal recurso, y la mayor�a de los sistemas no
- necesitan el dispositivo
+ <para>Si un atacante compromete <username>root</username> puede
+ hacer cualquier cosa, pero hay ciertas cosas que puede usted
+ preparar para <quote>curarse en salud</quote>. Por ejemplo,
+ la mayor�a de los kernel modernos tienen un dispositivo
+ de los Kernels modernos tienen un integrado un
+ dispositivo de paquetes. En &os; se llama
+ <devicename>bpf</devicename>. Un intruso t�pico
+ tratar� de ejecutar un <quote>sniffer</quote> de paquetes
+ en una m�quina comprometida. No deber�a darle a
+ ese intruso tal recurso, y la mayor�a de los sistemas no
+ necesitan el dispositivo
<devicename>bpf</devicename>.</para>
<indexterm>
<primary><command>sysctl</command></primary>
</indexterm>
- <para>Pero si desactiva el dispositivo <devicename>bpf</devicename>
- todav�a tendr� que preocuparse por
+ <para>Pero si desactiva el dispositivo <devicename>bpf</devicename>
+ todav�a tendr� que preocuparse por
<filename>/dev/mem</filename> y
- <filename>/dev/kmem</filename>.
- Desde ellos el intruso podr�a en dispositivos de disco
- en bruto. Tambi�n hay que tener muy en cuenta
- una opci�n del kernel llamada cargador de m�dulos,
- &man.kldload.8;. Un intruso con iniciativa puede usar un
- m�dulo KLD para instalar su propio dispositivo
- <devicename>bpf</devicename>, u otro dispositivo
- que le permita el <quote>sniffing</quote> en un kernel en
- ejecuci�n. Para prevenir estos problemas debe ejecutar el
- kernel en un nivel de seguridad mayor, al menos en securelevel 1.
- Puede configurar el securelevel mediante una <command>sysctl</command>
- en la variable <varname>kern.securelevel</varname>.
- Una vez que tiene su securelevel a 1, los accesos de
- escritura a dispositivos en bruto se
- denegar�n y se impondr�n las banderas especiales
- <literal>schg</literal>.
- Tambi�n debe cerciorarse de activar la bandera
- <literal>schg</literal> en binarios cr�ticos para el arranque,
- directorios y scripts (dicho de otro modo, todo aquello que se
- ejecuta <emphasis>antes</emphasis> de que se active el
- securelevel). Puede ser que todo esto sea una exageraci�n,
- sobre todo teniendo en cuenta que la actualizaci�n del sistema
- se complica bastante a medida que se incrementa el nivel de
- seguridad. Puede ejecutar el sistema a un nivel de seguridad
- superior pero no activar la bandera <literal>schg</literal>
- en cada fichero y directorio del sistema. Otra posibilidad es
- montar <filename>/</filename> y <filename>/usr</filename> como
- s�lo lectura. Recuerde que siendo demasiado draconiano
- en aquello que busca proteger puede dificultar mucho la
+ <filename>/dev/kmem</filename>.
+ Desde ellos el intruso podr�a en dispositivos de disco
+ en bruto. Tambi�n hay que tener muy en cuenta
+ una opci�n del kernel llamada cargador de m�dulos,
+ &man.kldload.8;. Un intruso con iniciativa puede usar un
+ m�dulo KLD para instalar su propio dispositivo
+ <devicename>bpf</devicename>, u otro dispositivo
+ que le permita el <quote>sniffing</quote> en un kernel en
+ ejecuci�n. Para prevenir estos problemas debe ejecutar el
+ kernel en un nivel de seguridad mayor, al menos en securelevel 1.
+ Puede configurar el securelevel mediante una <command>sysctl</command>
+ en la variable <varname>kern.securelevel</varname>.
+ Una vez que tiene su securelevel a 1, los accesos de
+ escritura a dispositivos en bruto se
+ denegar�n y se impondr�n las banderas especiales
+ <literal>schg</literal>.
+ Tambi�n debe cerciorarse de activar la bandera
+ <literal>schg</literal> en binarios cr�ticos para el arranque,
+ directorios y scripts (dicho de otro modo, todo aquello que se
+ ejecuta <emphasis>antes</emphasis> de que se active el
+ securelevel). Puede ser que todo esto sea una exageraci�n,
+ sobre todo teniendo en cuenta que la actualizaci�n del sistema
+ se complica bastante a medida que se incrementa el nivel de
+ seguridad. Puede ejecutar el sistema a un nivel de seguridad
+ superior pero no activar la bandera <literal>schg</literal>
+ en cada fichero y directorio del sistema. Otra posibilidad es
+ montar <filename>/</filename> y <filename>/usr</filename> como
+ s�lo lectura. Recuerde que siendo demasiado draconiano
+ en aquello que busca proteger puede dificultar mucho la
detecci�n de una intrusi�n.</para>
</sect2>
<sect2 id="security-integrity">
- <title>Revisi�n de integridad de ficheros: binarios,
+ <title>Revisi�n de integridad de ficheros: binarios,
ficheros de configuraci�n, etc.</title>
- <para>Cuando se piensa de protecc�n, s�lo se puede
- proteger la configuraci�n central del sistema y los ficheros
- de control hasta el momento en el que el factor comodidad salta
- a la palestra. Por ejemplo, si usa
- <command>chflags</command> para activar el bit <literal>schg</literal>
- en la mayor�a de los ficheros de <filename>/</filename>
- y <filename>/usr</filename> probablemente sea contraproducente;
- puede proteger los ficheros haci�ndolo, pero tambi�n
- cierra una v�a de detecci�n. La �ltima capa
- de su modelo de seguridad tipo cebolla es quiz�s la
- m�s importante: la detecci�n. El resto de su
- estructura de seguridad ser� in�til (o peor
- a�n, le proporcionar� un sentimiento de seguridad
- totalmente infundado) si no puede detectar posibles intrusiones.
- La mitad del trabajo de la cebolla es alentar al atacante, en lugar
+ <para>Cuando se piensa de protecc�n, s�lo se puede
+ proteger la configuraci�n central del sistema y los ficheros
+ de control hasta el momento en el que el factor comodidad salta
+ a la palestra. Por ejemplo, si usa
+ <command>chflags</command> para activar el bit <literal>schg</literal>
+ en la mayor�a de los ficheros de <filename>/</filename>
+ y <filename>/usr</filename> probablemente sea contraproducente;
+ puede proteger los ficheros haci�ndolo, pero tambi�n
+ cierra una v�a de detecci�n. La �ltima capa
+ de su modelo de seguridad tipo cebolla es quiz�s la
+ m�s importante: la detecci�n. El resto de su
+ estructura de seguridad ser� in�til (o peor
+ a�n, le proporcionar� un sentimiento de seguridad
+ totalmente infundado) si no puede detectar posibles intrusiones.
+ La mitad del trabajo de la cebolla es alentar al atacante, en lugar
de detenerlo, para darle a la parte de la ecuaci�n de
- detecci�n una oportunidad de atraparlo con las manos en la
- masa.</para>
-
- <para>La mejor manera de detectar una intrusi�n es buscar
- ficheros modificados, perdidos, o cuya presencia o estado sea
- inesperado. La mejor forma de buscar ficheros modificados es
- desde otro sistema (que muchas veces es centralizado) con acceso
- restringido.
- Escribir sus <quote>scripts</quote> de seguridad en un sistema
- <quote>extraseguro</quote> y con acceso restringido los hace casi
- invisibles a posibles atacantes, y esto es algo muy importante.
- potenciales, y esto es importante. Para poderle sacar el
- m�ximo partido debe proporcionar a esa m�quina con
- acceso restringido un acceso preferente al contenido de las otras
- m�quinas de su entorno; suele hacerse mediante la
- importaci�n v�a NFS de s�lo lectura de las
- dem�s m�quinas, o configurando pares de llaves ssh
- para acceder a las otras m�quinas desde la que tiene el
- acceso restringido. Si exceptuamos el tr�fico de red, NFS
- es el m�todo menos visible y le permite monitorizar los
- sistemas de ficheros de cada m�quina cliente de forma
- pr�cticamente indetectable. Si su servidor de acceso
- restringido est� conectado a las m�quinas clientes
- a trav�s de un concentrador o a trav�s de varias
- capas de encaminamiento el m�todo NFS puede ser muy inseguro,
- por lo que ssh puede ser la mejor opci�n, incluso con
+ detecci�n una oportunidad de atraparlo con las manos en la
+ masa.</para>
+
+ <para>La mejor manera de detectar una intrusi�n es buscar
+ ficheros modificados, perdidos, o cuya presencia o estado sea
+ inesperado. La mejor forma de buscar ficheros modificados es
+ desde otro sistema (que muchas veces es centralizado) con acceso
+ restringido.
+ Escribir sus <quote>scripts</quote> de seguridad en un sistema
+ <quote>extraseguro</quote> y con acceso restringido los hace casi
+ invisibles a posibles atacantes, y esto es algo muy importante.
+ potenciales, y esto es importante. Para poderle sacar el
+ m�ximo partido debe proporcionar a esa m�quina con
+ acceso restringido un acceso preferente al contenido de las otras
+ m�quinas de su entorno; suele hacerse mediante la
+ importaci�n v�a NFS de s�lo lectura de las
+ dem�s m�quinas, o configurando pares de llaves ssh
+ para acceder a las otras m�quinas desde la que tiene el
+ acceso restringido. Si exceptuamos el tr�fico de red, NFS
+ es el m�todo menos visible y le permite monitorizar los
+ sistemas de ficheros de cada m�quina cliente de forma
+ pr�cticamente indetectable. Si su servidor de acceso
+ restringido est� conectado a las m�quinas clientes
+ a trav�s de un concentrador o a trav�s de varias
+ capas de encaminamiento el m�todo NFS puede ser muy inseguro,
+ por lo que ssh puede ser la mejor opci�n, incluso con
las huellas de auditor�a que ssh va dejando.</para>
- <para>Una vez que le da a una m�quina de acceso restringido
- (al menos) acceso de lectura a los sistemas cliente que va
- a monitorizar, tendr� que escribir <quote>scripts</quote>
- para efectuar la monitorizaci�n. Si va a usar un montaje
- NFS puede escribir <quote>scripts</quote> utilizando simples
- herramientas del sistema como
- &man.find.1; y &man.md5.1;. Es aconsejable ejecutar MD5
- f�sicamente en los ficheros de las m�quinas cliente
- al menos una vez al d�a, y comprobar los ficheros de control
- (los que hay en <filename>/etc</filename> y
- <filename>/usr/local/etc</filename>) con una frecuencia incluso
- mayor. Si aparecen discrepancias al compararlos con la
- informaci�n basada en MD5 que la m�quina de acceso
- restringido usa como base debe hacer una comprobaci�n
- inmediata y profunda. Un buen <quote>script</quote> tambi�n
- debe buscar binarios que sean suid sin raz�n aparente, y
- ficheros nuevos o borrados en particiones del sistema como
+ <para>Una vez que le da a una m�quina de acceso restringido
+ (al menos) acceso de lectura a los sistemas cliente que va
+ a monitorizar, tendr� que escribir <quote>scripts</quote>
+ para efectuar la monitorizaci�n. Si va a usar un montaje
+ NFS puede escribir <quote>scripts</quote> utilizando simples
+ herramientas del sistema como
+ &man.find.1; y &man.md5.1;. Es aconsejable ejecutar MD5
+ f�sicamente en los ficheros de las m�quinas cliente
+ al menos una vez al d�a, y comprobar los ficheros de control
+ (los que hay en <filename>/etc</filename> y
+ <filename>/usr/local/etc</filename>) con una frecuencia incluso
+ mayor. Si aparecen discrepancias al compararlos con la
+ informaci�n basada en MD5 que la m�quina de acceso
+ restringido usa como base debe hacer una comprobaci�n
+ inmediata y profunda. Un buen <quote>script</quote> tambi�n
+ debe buscar binarios que sean suid sin raz�n aparente, y
+ ficheros nuevos o borrados en particiones del sistema como
<filename>/</filename> y <filename>/usr</filename>.</para>
- <para>Si usa ssh en lugar de NFS ser� mucho m�s
- complicado escribir el <quote>script</quote> de seguridad.
- En esencia, tiene que pasar por <command>scp</command> los
- <quote>scripts</quote> a la m�quina cliente para poder
- ejecutarlos, haci�ndolos visibles; por seguridad,
- tambi�n tendr� que pasar v�a
- <command>scp</command> los binarios (por ejemplo find) que
- utilizan dichos <quote>scripts</quote>. El cliente
- <application>ssh</application> de la m�quina cliente
- puede estar ya bajo el control del intruso. Con todo y con eso,
- puede ser necesario usar ssh si trabaja sobre enlaces inseguros,
+ <para>Si usa ssh en lugar de NFS ser� mucho m�s
+ complicado escribir el <quote>script</quote> de seguridad.
+ En esencia, tiene que pasar por <command>scp</command> los
+ <quote>scripts</quote> a la m�quina cliente para poder
+ ejecutarlos, haci�ndolos visibles; por seguridad,
+ tambi�n tendr� que pasar v�a
+ <command>scp</command> los binarios (por ejemplo find) que
+ utilizan dichos <quote>scripts</quote>. El cliente
+ <application>ssh</application> de la m�quina cliente
+ puede estar ya bajo el control del intruso. Con todo y con eso,
+ puede ser necesario usar ssh si trabaja sobre enlaces inseguros,
tambi�n es mucho m�s dif�cil de manejar.</para>
- <para>Un buen <quote>script</quote> de seguridad buscar�
- tambi�n cambios en la configuraci�n de los ficheros
- de acceso de usuarios y miembros del personal de
- administraci�n:
+ <para>Un buen <quote>script</quote> de seguridad buscar�
+ tambi�n cambios en la configuraci�n de los ficheros
+ de acceso de usuarios y miembros del personal de
+ administraci�n:
<filename>.rhosts</filename>, <filename>.shosts</filename>,
- <filename>.ssh/authorized_keys</filename>, etc; en resumen,
- ficheros fuera del rango de revisi�n
+ <filename>.ssh/authorized_keys</filename>, etc; en resumen,
+ ficheros fuera del rango de revisi�n
<literal>MD5</literal>.</para>
-
- <para>Si tiene que v�rselas con una cantidad enorme de
- espacio en disco para usuarios le llevar� mucho tiempo
- recorrer cada fichero de cada partici�n. En su caso
- ser�a una buena idea configurar mediante opciones de
- montaje la deshabilitaci�n de binarios y dispositivos
- suid en esas particiones. Revise las opciones
- <literal>nodev</literal> y <literal>nosuid</literal> de
- &man.mount.8;. Deber�a comprobarlos de todas maneras
- al menos una vez por semana, ya que el objeto de esta capa es
+
+ <para>Si tiene que v�rselas con una cantidad enorme de
+ espacio en disco para usuarios le llevar� mucho tiempo
+ recorrer cada fichero de cada partici�n. En su caso
+ ser�a una buena idea configurar mediante opciones de
+ montaje la deshabilitaci�n de binarios y dispositivos
+ suid en esas particiones. Revise las opciones
+ <literal>nodev</literal> y <literal>nosuid</literal> de
+ &man.mount.8;. Deber�a comprobarlos de todas maneras
+ al menos una vez por semana, ya que el objeto de esta capa es
detectar intrusiones, efectivas o no.</para>
- <para>La contabilidad de procesos (vea &man.accton.8;) es una
- opci�n con una carga relativamente ligera para el sistema
- operativo, y puede ayudarle como mecanismo de
- evaluaci�n tras una intrusi�n. Es especialmente
- �til para rastrear c�mo consigui�n realmente
- acceder el intruso al sistema (asumiendo que el fichero
+ <para>La contabilidad de procesos (vea &man.accton.8;) es una
+ opci�n con una carga relativamente ligera para el sistema
+ operativo, y puede ayudarle como mecanismo de
+ evaluaci�n tras una intrusi�n. Es especialmente
+ �til para rastrear c�mo consigui�n realmente
+ acceder el intruso al sistema (asumiendo que el fichero
est� intacto despu�s de la intrusi�n).</para>
- <para>Los <quote>scripts</quote> de seguridad deben procesar los
- logs, y los propios logs deben generarse de la forma m�s
- segura posible: un syslog remoto puede ser muy
- �til. Un intruso trata de cubrir sus huellas, los logs
- son un recurso cr�tico cuando el administrador de sistemas
- intenta determinar la hora y el m�todo de la intrusi�n
- inicial. La ejecuci�n de la consola del sistema en un
- puerto serie y recolectar la informaci�n de forma
- peri�dica en una m�quina segura de
- monitorizaci�n de consolas es una forma de cumplir esta
+ <para>Los <quote>scripts</quote> de seguridad deben procesar los
+ logs, y los propios logs deben generarse de la forma m�s
+ segura posible: un syslog remoto puede ser muy
+ �til. Un intruso trata de cubrir sus huellas, los logs
+ son un recurso cr�tico cuando el administrador de sistemas
+ intenta determinar la hora y el m�todo de la intrusi�n
+ inicial. La ejecuci�n de la consola del sistema en un
+ puerto serie y recolectar la informaci�n de forma
+ peri�dica en una m�quina segura de
+ monitorizaci�n de consolas es una forma de cumplir esta
tarea.</para>
</sect2>
<sect2>
<title>Paranoia</title>
- <para>Un poco de paranoia nunca est� de m�s.
- Como norma, un administrador de sistemas puede a�adir
- cualquier tipo de mecanismo de seguridad siempre y cuando no
- afecte a la comodidad, y puede a�adir mecanismos de seguridad
- que <emphasis>s�</emphasis> afecten a la comodidad
- si tiene una buena raz�n para hacerlo. M�s
- a�n, un administrador de seguridad debe mezclar
- un poco de ambas cosas: si sigue al pie de la letra las
- recomendaciones que se dan en este documento tambi�n
- est� sirviendo en bandeja de plata al posible atancante
- su metodolog�a. Ese posible atacante tambi�n
+ <para>Un poco de paranoia nunca est� de m�s.
+ Como norma, un administrador de sistemas puede a�adir
+ cualquier tipo de mecanismo de seguridad siempre y cuando no
+ afecte a la comodidad, y puede a�adir mecanismos de seguridad
+ que <emphasis>s�</emphasis> afecten a la comodidad
+ si tiene una buena raz�n para hacerlo. M�s
+ a�n, un administrador de seguridad debe mezclar
+ un poco de ambas cosas: si sigue al pie de la letra las
+ recomendaciones que se dan en este documento tambi�n
+ est� sirviendo en bandeja de plata al posible atancante
+ su metodolog�a. Ese posible atacante tambi�n
tiene acceso a este documento.</para>
</sect2>
<sect2>
<title>Ataques de denegaci�n de servicio</title>
- <indexterm><primary>Ataques de denegaci�n de
+ <indexterm><primary>Ataques de denegaci�n de
servicio (DoS)</primary></indexterm>
- <para>Esta secci�n cubre ataques de denegaci�n de
- servicio. Un ataque DoS suele consistir en un ataque mediante
- paquetes. NO hay mucho que pueda hacerse contra un ataque
- mediante paquetes falsificados (<quote>spoofed</quote>) que busque
- saturar su red, pero puede limitar el da�o
+ <para>Esta secci�n cubre ataques de denegaci�n de
+ servicio. Un ataque DoS suele consistir en un ataque mediante
+ paquetes. NO hay mucho que pueda hacerse contra un ataque
+ mediante paquetes falsificados (<quote>spoofed</quote>) que busque
+ saturar su red, pero puede limitar el da�o
asegur�ndose de que los ataques no tiren sus servidores.</para>
<orderedlist>
@@ -901,7 +901,7 @@
</listitem>
<listitem>
- <para>Limitaci�n de ataques <quote>springboard</quote>
+ <para>Limitaci�n de ataques <quote>springboard</quote>
(ataques de respuesta ICMP, ping broadcast, etc.)</para>
</listitem>
@@ -910,172 +910,172 @@
</listitem>
</orderedlist>
- <para>Un t�pico ataque DoS contra un servidor con instancias
- (forks) ser�a tratar de provocar que el servidor consuma
- procesos, descriptores de fichero y memoria hasta tirar la
- m�quina.
- <application>inetd</application> (consulte &man.inetd.8;)
- dispone de varias opciones para limitar este tipo de ataque.
- Recuerde que aunque es posible evitar que una m�quina
- caiga, generalmente no es posible evitar que un servicio sea
- vea interrumpido a causa el ataque. Consulte la p�gina
- de manual de <application>inetd</application> atentamente y
- sobre todo estudie las las opciones
+ <para>Un t�pico ataque DoS contra un servidor con instancias
+ (forks) ser�a tratar de provocar que el servidor consuma
+ procesos, descriptores de fichero y memoria hasta tirar la
+ m�quina.
+ <application>inetd</application> (consulte &man.inetd.8;)
+ dispone de varias opciones para limitar este tipo de ataque.
+ Recuerde que aunque es posible evitar que una m�quina
+ caiga, generalmente no es posible evitar que un servicio sea
+ vea interrumpido a causa el ataque. Consulte la p�gina
+ de manual de <application>inetd</application> atentamente y
+ sobre todo estudie las las opciones
<option>-c</option>, <option>-C</option>,
- y <option>-R</option>. Observe que los ataques con direcciones IP
- falsificadas sortear�n la opci�n <option>-C</option> de
- <application>inetd</application>, as� que debe usar una
- combinaci�n de opciones. Algunos servidores
- aut�nomos (<quote>standalone</quote>) cuentan con
- par�metros de autolimitaci�n de instancias.</para>
-
- <para><application>Sendmail</application> tiene la opci�n
- <option>-OMaxDaemonChildren</option>, que tiende a funcionar
- mucho mejor que las opciones de l�mite
- de carga de sendmail debido al retraso que provoca la carga.
- Debe especificar un par�metro
- <literal>MaxDaemonChildren</literal> al inicio de
- <application>sendmail</application> que sea lo suficientemente alto
- como para gestionar la carga esperada, pero no tan alto que la
- computadora no pueda absorber tal n�mero de
- <application>sendmails</application> sin caerse de boca.
- Tambi�n es prudente ejecutar sendmail en modo de cola
- (<option>-ODeliveryMode=queued</option>) y ejecutar el
- d&aelig;mon (<command>sendmail -bd</command>)
- de manera independiente de las ejecuciones de cola
- (<command>sendmail -q15m</command>). Si a pesar de todo necesita
- entregas en tiempo real puede ejecutar la cola a un intervalo
- menor, como <option>-q1m</option>, pero aseg�rese de
+ y <option>-R</option>. Observe que los ataques con direcciones IP
+ falsificadas sortear�n la opci�n <option>-C</option> de
+ <application>inetd</application>, as� que debe usar una
+ combinaci�n de opciones. Algunos servidores
+ aut�nomos (<quote>standalone</quote>) cuentan con
+ par�metros de autolimitaci�n de instancias.</para>
+
+ <para><application>Sendmail</application> tiene la opci�n
+ <option>-OMaxDaemonChildren</option>, que tiende a funcionar
+ mucho mejor que las opciones de l�mite
+ de carga de sendmail debido al retraso que provoca la carga.
+ Debe especificar un par�metro
+ <literal>MaxDaemonChildren</literal> al inicio de
+ <application>sendmail</application> que sea lo suficientemente alto
+ como para gestionar la carga esperada, pero no tan alto que la
+ computadora no pueda absorber tal n�mero de
+ <application>sendmails</application> sin caerse de boca.
+ Tambi�n es prudente ejecutar sendmail en modo de cola
+ (<option>-ODeliveryMode=queued</option>) y ejecutar el
+ d&aelig;mon (<command>sendmail -bd</command>)
+ de manera independiente de las ejecuciones de cola
+ (<command>sendmail -q15m</command>). Si a pesar de todo necesita
+ entregas en tiempo real puede ejecutar la cola a un intervalo
+ menor, como <option>-q1m</option>, pero aseg�rese de
especificar una opci�n <literal>MaxDaemonChildren</literal>
razonable para <emphasis>ese</emphasis> sendmail y as�
evitar fallos en cascada.</para>
-
- <para><application>Syslogd</application> puede recibir ataques directos
- y se recomienda encarecidamente que utilice la opci�n
- <option>-s</option> siempre que sea posible, y si no la opci�n
+
+ <para><application>Syslogd</application> puede recibir ataques directos
+ y se recomienda encarecidamente que utilice la opci�n
+ <option>-s</option> siempre que sea posible, y si no la opci�n
<option>-a</option>.</para>
- <para>Tambi�n debe ser extremadamente cuidadoso con servicios
- de conexi�n inversa como el ident inverso de
- <application>TCP Wrapper</application>, que puede recibir ataques
- directos. No se suele usar el ident inverso de
- <application>TCP Wrapper</application> por esa misma
+ <para>Tambi�n debe ser extremadamente cuidadoso con servicios
+ de conexi�n inversa como el ident inverso de
+ <application>TCP Wrapper</application>, que puede recibir ataques
+ directos. No se suele usar el ident inverso de
+ <application>TCP Wrapper</application> por esa misma
raz�n.</para>
- <para>Es una muy buena idea proteger los servicios internos
- de acceso externo protegi�ndolos v�a con un cortafuegos
- en los routers de frontera. La idea es prevenir ataques de
- saturaci�n desde el exterior de la LAN, y no tanto para
- proteger servicios internos de compromisos
- <username>root</username> basados en red.
- Configure siempre un cortafuegos exclusivo, esto es,
- <quote>restringir todo <emphasis>menos</emphasis> los puertos
- A, B, C, D y M-Z</quote>. De esta manera restringir�
- todos sus puertos con n�meros bajos excepto ciertos
- servicios espec�ficos como
- <application>named</application> (si es el servidor primario de
- una zona), <application>ntalkd</application>,
+ <para>Es una muy buena idea proteger los servicios internos
+ de acceso externo protegi�ndolos v�a con un cortafuegos
+ en los routers de frontera. La idea es prevenir ataques de
+ saturaci�n desde el exterior de la LAN, y no tanto para
+ proteger servicios internos de compromisos
+ <username>root</username> basados en red.
+ Configure siempre un cortafuegos exclusivo, esto es,
+ <quote>restringir todo <emphasis>menos</emphasis> los puertos
+ A, B, C, D y M-Z</quote>. De esta manera restringir�
+ todos sus puertos con n�meros bajos excepto ciertos
+ servicios espec�ficos como
+ <application>named</application> (si es el servidor primario de
+ una zona), <application>ntalkd</application>,
<application>sendmail</application>, y otros servicios accesibles
- desde Internet. Si configura el cortafuegos de la otra
- manera (como un cortafuegos inclusivo o permisivo), tiene grandes
- posibilidades de que olvide <quote>cerrar</quote> un
- par de servicios, o de que agregue un nuevo servicio interno y
- olvide actualizar el cortafuegos. Puede incluso abrir el rango
- de n�meros de puerto altos en el cortafuegos para permitir
- operaciones de tipo permisivo sin comprometer sus puertos
- bajos. Recuerde tambi�n que &os; le permite controlar
- el rango de n�meros de puerto utilizados para asignaci�n
- din�mica a trav�s de las numerosas
- <varname>net.inet.ip.portrange</varname> de
- <command>sysctl</command>
- (<command>sysctl -a | fgrep portrange</command>), lo cual
- tambi�n facilita la complejidad de la configuraci�n
- de su cortafuegos. Por ejemplo, puede utilizar un rango normal
- primero/�ltimo de 4000 � 5000, y un rango de puerto
- alto de 49152 a 65535; bloqu�e todo por debajo de
- 4000 (excepto para ciertos puertos espec�ficos
+ desde Internet. Si configura el cortafuegos de la otra
+ manera (como un cortafuegos inclusivo o permisivo), tiene grandes
+ posibilidades de que olvide <quote>cerrar</quote> un
+ par de servicios, o de que agregue un nuevo servicio interno y
+ olvide actualizar el cortafuegos. Puede incluso abrir el rango
+ de n�meros de puerto altos en el cortafuegos para permitir
+ operaciones de tipo permisivo sin comprometer sus puertos
+ bajos. Recuerde tambi�n que &os; le permite controlar
+ el rango de n�meros de puerto utilizados para asignaci�n
+ din�mica a trav�s de las numerosas
+ <varname>net.inet.ip.portrange</varname> de
+ <command>sysctl</command>
+ (<command>sysctl -a | fgrep portrange</command>), lo cual
+ tambi�n facilita la complejidad de la configuraci�n
+ de su cortafuegos. Por ejemplo, puede utilizar un rango normal
+ primero/�ltimo de 4000 � 5000, y un rango de puerto
+ alto de 49152 a 65535; bloqu�e todo por debajo de
+ 4000 (excepto para ciertos puertos espec�ficos
accesibles desde Internet, por supuesto).</para>
<indexterm><primary>ICMP_BANDLIM</primary></indexterm>
- <para>Otro ataque DoS com�n es llamado ataque
- <quote>springboard</quote>: atacar un servidor de forma que
- genere respuestas que lo sobrecarguen, sobrecarguen la red local
- o alguna otra m�quina. Los ataques m�s
- comunes de este tipo son los
- <emphasis>ataques ICMP ping broadcast</emphasis>.
- El atacante falsifica paquetes ping enviados a la direcci�n
- broadcast de su LAN simulando que la direcci�n IP origen
- es la de la m�quina que desean atacar. Si sus routers
- de frontera no est�n configurados para lidiar con pings a
- direcciones de broadcast su LAN termina generando suficientes
- respuestas a la direcci�n origen falsificada como para saturar
- a la v�ctima, especialmente cuando el atacante utiliza
- el mismo truco en varias docenas de direcciones broadcast en
- varias docenas de redes diferentes a la vez. Se han medido
- ataques de broadcast de m�s de ciento veinte megabits.
- Un segundo tipo de ataque <quote>springboard</quote> bastante
- com�n se da contra el sistema de informe de error de ICMP.
- Un atacante puede saturar la conexi�n entrante de red de un
- servidor mediante la construcci�n de paquetes que generen
- respuestas de error ICMP, provocando que el servidor sature su
- conexi�n saliente de red con respuestas ICMP. Este tipo
- de ataque tambi�n puede tumbar el servidor agotando sus
- <quote>mbufs</quote>, especialmente si el servidor no puede
- drenar lo suficientemente r�pido las respuestas ICMP que
- genera. El kernel de &os; tiene una opci�n de
- compilaci�n llamada <option>ICMP_BANDLIM</option>,
- que limita la efectividad de este tipo de ataques.
- La �ltima gran categor�a de ataques
- <quote>springboard</quote> est� relacionada con
- ciertos servicios de <application>inetd</application>, como
- el servicio de eco udp. El atacante simplemente imita un paquete
- UDP con el puerdo de eco del servidor A como direcci�n de
- origen, y el puerto eco del servidor B como direcci�n de
- destino, estando ambos servidores en la misma LAN. Un atacante
- puede sobrecargar ambos servidores y la propia LAN inyectando
- simplemente un par de paquetes. Existen problemas similares
- con el puerto
- <application>chargen</application>. Un administrador de sistemas
- competente apagar� todos estos servicios internos de
+ <para>Otro ataque DoS com�n es llamado ataque
+ <quote>springboard</quote>: atacar un servidor de forma que
+ genere respuestas que lo sobrecarguen, sobrecarguen la red local
+ o alguna otra m�quina. Los ataques m�s
+ comunes de este tipo son los
+ <emphasis>ataques ICMP ping broadcast</emphasis>.
+ El atacante falsifica paquetes ping enviados a la direcci�n
+ broadcast de su LAN simulando que la direcci�n IP origen
+ es la de la m�quina que desean atacar. Si sus routers
+ de frontera no est�n configurados para lidiar con pings a
+ direcciones de broadcast su LAN termina generando suficientes
+ respuestas a la direcci�n origen falsificada como para saturar
+ a la v�ctima, especialmente cuando el atacante utiliza
+ el mismo truco en varias docenas de direcciones broadcast en
+ varias docenas de redes diferentes a la vez. Se han medido
+ ataques de broadcast de m�s de ciento veinte megabits.
+ Un segundo tipo de ataque <quote>springboard</quote> bastante
+ com�n se da contra el sistema de informe de error de ICMP.
+ Un atacante puede saturar la conexi�n entrante de red de un
+ servidor mediante la construcci�n de paquetes que generen
+ respuestas de error ICMP, provocando que el servidor sature su
+ conexi�n saliente de red con respuestas ICMP. Este tipo
+ de ataque tambi�n puede tumbar el servidor agotando sus
+ <quote>mbufs</quote>, especialmente si el servidor no puede
+ drenar lo suficientemente r�pido las respuestas ICMP que
+ genera. El kernel de &os; tiene una opci�n de
+ compilaci�n llamada <option>ICMP_BANDLIM</option>,
+ que limita la efectividad de este tipo de ataques.
+ La �ltima gran categor�a de ataques
+ <quote>springboard</quote> est� relacionada con
+ ciertos servicios de <application>inetd</application>, como
+ el servicio de eco udp. El atacante simplemente imita un paquete
+ UDP con el puerdo de eco del servidor A como direcci�n de
+ origen, y el puerto eco del servidor B como direcci�n de
+ destino, estando ambos servidores en la misma LAN. Un atacante
+ puede sobrecargar ambos servidores y la propia LAN inyectando
+ simplemente un par de paquetes. Existen problemas similares
+ con el puerto
+ <application>chargen</application>. Un administrador de sistemas
+ competente apagar� todos estos servicios internos de
verificaci�n de inetd.</para>
-
- <para>Los ataques con paquetes falsificados pueden utilizarse
- tambi�n para sobrecargar la cach� de rutas del kernel.
- Consulte los par�metros de <command>sysctl</command>
- <varname>net.inet.ip.rtexpire</varname>,
- <varname>rtminexpire</varname>, y
- <varname>rtmaxcache</varname>.
- Un ataque de paquetes falsificados que utiliza una direcci�n
- IP origen aleatoria provocar� que el kernel genere una
- ruta temporal en cach� en su tabla de rutas, visible con
- <command>netstat -rna | fgrep W3</command>. Estas rutas
- suelen expiran en 1600 segundos m�s o menos. Si el
- kernel detecta que la tabla de rutas en cach� es ya
- demasiado grande reducir� din�micamente
- <varname>rtexpire</varname>, pero nunca la reducir� a un
- valor que sea menor que <varname>rtminexpire</varname>.
+
+ <para>Los ataques con paquetes falsificados pueden utilizarse
+ tambi�n para sobrecargar la cach� de rutas del kernel.
+ Consulte los par�metros de <command>sysctl</command>
+ <varname>net.inet.ip.rtexpire</varname>,
+ <varname>rtminexpire</varname>, y
+ <varname>rtmaxcache</varname>.
+ Un ataque de paquetes falsificados que utiliza una direcci�n
+ IP origen aleatoria provocar� que el kernel genere una
+ ruta temporal en cach� en su tabla de rutas, visible con
+ <command>netstat -rna | fgrep W3</command>. Estas rutas
+ suelen expiran en 1600 segundos m�s o menos. Si el
+ kernel detecta que la tabla de rutas en cach� es ya
+ demasiado grande reducir� din�micamente
+ <varname>rtexpire</varname>, pero nunca la reducir� a un
+ valor que sea menor que <varname>rtminexpire</varname>.
Esto nos presenta dos problemas:</para>
-
+
<orderedlist>
<listitem>
- <para>El kernel no reacciona con suficiente rapidez cuando
+ <para>El kernel no reacciona con suficiente rapidez cuando
un servidor ligeramente cargado es atacado.</para>
</listitem>
-
+
<listitem>
- <para>El <varname>rtminexpire</varname> no es lo suficientemente
+ <para>El <varname>rtminexpire</varname> no es lo suficientemente
bajo para que el kernel sobreviva a un ataque sostenido.</para>
</listitem>
</orderedlist>
-
- <para>Si sus servidores est�n conectados a Internet mediante
- mediante una l�nea T3 o superior puede ser prudente corregir
- manualmente
- <varname>rtexpire</varname> y <varname>rtminexpire</varname>
- por medio de &man.sysctl.8;. Nunca ponga ambos par�metros
- a cero (a menos que des�e estrellar la m�quina).
- Configurar ambos par�metros a 2 segundos deber�a
+
+ <para>Si sus servidores est�n conectados a Internet mediante
+ mediante una l�nea T3 o superior puede ser prudente corregir
+ manualmente
+ <varname>rtexpire</varname> y <varname>rtminexpire</varname>
+ por medio de &man.sysctl.8;. Nunca ponga ambos par�metros
+ a cero (a menos que des�e estrellar la m�quina).
+ Configurar ambos par�metros a 2 segundos deber�a
bastar para proteger de ataques la tabla de rutas.</para>
</sect2>
@@ -1084,46 +1084,46 @@
<indexterm><primary><command>ssh</command></primary></indexterm>
<indexterm><primary>KerberosIV</primary></indexterm>
- <para>Existen un par de detalles con respecto a
- Kerberos y ssh que debe analizar sy pretende usarlos.
- Kerberos V es un excelente protocolo de
- protocolo de autentificaci�n, pero hay errores en la
- versi�n kerberizada de <application>telnet</application>
- y <application>rlogin</application> que las hacen
- inapropiadas para gestionar flujos binarios.
- Adem� Kerberos no cifra por defecto una
- sesi�n a menos que utilice la opci�n
- <option>-x</option>. <application>ssh</application> cifra todo
+ <para>Existen un par de detalles con respecto a
+ Kerberos y ssh que debe analizar sy pretende usarlos.
+ Kerberos V es un excelente protocolo de
+ protocolo de autentificaci�n, pero hay errores en la
+ versi�n kerberizada de <application>telnet</application>
+ y <application>rlogin</application> que las hacen
+ inapropiadas para gestionar flujos binarios.
+ Adem� Kerberos no cifra por defecto una
+ sesi�n a menos que utilice la opci�n
+ <option>-x</option>. <application>ssh</application> cifra todo
por defecto.</para>
- <para>ssh funciona bastante bien en todos los casos, con la sola
- salvedad de que por defecto reenv�a llaves de cifrado.
- Esto significa que si usted tiene una estaci�n de trabajo
- segura, que contiene llaves que le dan acceso al resto del sistema,
- y hace ssh a una m�quina insegura, sus llaves se pueden
- utilizar. Las llaves en s� no se exponen, pero ssh
- crea un puerto de reenv�o durante el login, y si un
- atacante ha comprometido el <username>root</username>
- de la m�quina insegura, puede utilizar ese puerto
- para usar sus llaves y obtener acceso a cualquier otra
+ <para>ssh funciona bastante bien en todos los casos, con la sola
+ salvedad de que por defecto reenv�a llaves de cifrado.
+ Esto significa que si usted tiene una estaci�n de trabajo
+ segura, que contiene llaves que le dan acceso al resto del sistema,
+ y hace ssh a una m�quina insegura, sus llaves se pueden
+ utilizar. Las llaves en s� no se exponen, pero ssh
+ crea un puerto de reenv�o durante el login, y si un
+ atacante ha comprometido el <username>root</username>
+ de la m�quina insegura, puede utilizar ese puerto
+ para usar sus llaves y obtener acceso a cualquier otra
m�quina que sus llaves abran.</para>
- <para>Le recomendamos que, siempre que sea posible, use ssh
- combinado con Kerberos en los login de su personal de
- administraci�n.
- para logins de staff. Puede compilar
- <application>ssh</application> con soporte de Kerberos.
- Esto reducir� su dependencia de llaves ssh expuestas,
- al mismo tiempo que protege las contrase�as v�a
- Kerberos. Las llaves ssh deben usarse s�lamente para
- tareas autom�ticas desde m�quinas seguras
- (algo que Kerberos no hace por incompatibilidad). Recomendamos
- tambi�n que desactive el reenv�o de llaves
- en la configuraci�n de ssh, o que use la
- opci�n <literal>from=IP/DOMAIN</literal> que ssh incluye
- en <filename>authorized_keys</filename>; as� la llave
- s�lo podr� ser utilizada por entidades que se
+ <para>Le recomendamos que, siempre que sea posible, use ssh
+ combinado con Kerberos en los login de su personal de
+ administraci�n.
+ para logins de staff. Puede compilar
+ <application>ssh</application> con soporte de Kerberos.
+ Esto reducir� su dependencia de llaves ssh expuestas,
+ al mismo tiempo que protege las contrase�as v�a
+ Kerberos. Las llaves ssh deben usarse s�lamente para
+ tareas autom�ticas desde m�quinas seguras
+ (algo que Kerberos no hace por incompatibilidad). Recomendamos
+ tambi�n que desactive el reenv�o de llaves
+ en la configuraci�n de ssh, o que use la
+ opci�n <literal>from=IP/DOMAIN</literal> que ssh incluye
+ en <filename>authorized_keys</filename>; as� la llave
+ s�lo podr� ser utilizada por entidades que se
validen desde m�quinas
espec�ficas.</para>
</sect2>
@@ -1151,78 +1151,78 @@
<indexterm><primary>DES</primary></indexterm>
<indexterm><primary>MD5</primary></indexterm>
- <para>Cada usuario de un sistema &unix; tiene una contrase�a
- asociada a su cuenta. Parece obvio que estas contrase�as
- s�lo deben ser conocidas por el usuario y por el sistema
- operativo. Para que estas contrase�as permanezcan en secreto
- se cifran con lo que se conoce como un
- <quote>hash de una pasada</quote>, esto es, s�lo pueden ser
- f�cilmente cifradas pero no descifradas. En otras palabras,
- lo que acabamos de decir es tan obvio que ni siguiera es verdad:
- el propio sistema operativo no sabe cu�l es
- <emphasis>realmente</emphasis> la contrase�a.
- Lo �nico que conoce es la versi�n
- <emphasis>cifrada</emphasis> de la contrasen�a.
- La �nica manera de obtener la
- contrase�a en <quote>texto plano</quote> es por medio
- de una b�squeda de fuerza bruta en el espacio de
+ <para>Cada usuario de un sistema &unix; tiene una contrase�a
+ asociada a su cuenta. Parece obvio que estas contrase�as
+ s�lo deben ser conocidas por el usuario y por el sistema
+ operativo. Para que estas contrase�as permanezcan en secreto
+ se cifran con lo que se conoce como un
+ <quote>hash de una pasada</quote>, esto es, s�lo pueden ser
+ f�cilmente cifradas pero no descifradas. En otras palabras,
+ lo que acabamos de decir es tan obvio que ni siguiera es verdad:
+ el propio sistema operativo no sabe cu�l es
+ <emphasis>realmente</emphasis> la contrase�a.
+ Lo �nico que conoce es la versi�n
+ <emphasis>cifrada</emphasis> de la contrasen�a.
+ La �nica manera de obtener la
+ contrase�a en <quote>texto plano</quote> es por medio
+ de una b�squeda de fuerza bruta en el espacio de
contrase�as posibles.</para>
- <para>Por desgracia la �nica manera segura de cifrar
- contrase�as cuando &unix; empez� a hacerlo estaba
- basada en DES, (<quote>Data Encryption Standard</quote>,
- <quote>est�ndar de cifrado de datos</quote>).
- Esto no era un gran problema para usuarios residentes en los EEUU,
- pero el c�digo fuente de &os; no se pod�a exportar desde
- los EEUU, as� que &os; hubo de buscar una forma de complir
- las leyes de EEUU y al mismo tiempo mantener la compatibilidad con
- otras variantes de &unix; que
- que todav�a utilizaban DES.</para>
-
- <para>La soluci�n fu� dividir las bibliotecas de cifrado
- para que los usuarios de EEUU pudieran instalar las bibliotecas DES
- pero los usuarios del resto del mundo tuvieran un m�todo
- de cifrado que pudiera ser exportado. As� es como &os;
- comenz� a usar MD5 como su m�todo de cifrado por
- defecto. MD5 se considera m�s seguro que DES, as�
- que se mantiene la opci�n de poder instalar DES por motivos
+ <para>Por desgracia la �nica manera segura de cifrar
+ contrase�as cuando &unix; empez� a hacerlo estaba
+ basada en DES, (<quote>Data Encryption Standard</quote>,
+ <quote>est�ndar de cifrado de datos</quote>).
+ Esto no era un gran problema para usuarios residentes en los EEUU,
+ pero el c�digo fuente de &os; no se pod�a exportar desde
+ los EEUU, as� que &os; hubo de buscar una forma de complir
+ las leyes de EEUU y al mismo tiempo mantener la compatibilidad con
+ otras variantes de &unix; que
+ que todav�a utilizaban DES.</para>
+
+ <para>La soluci�n fu� dividir las bibliotecas de cifrado
+ para que los usuarios de EEUU pudieran instalar las bibliotecas DES
+ pero los usuarios del resto del mundo tuvieran un m�todo
+ de cifrado que pudiera ser exportado. As� es como &os;
+ comenz� a usar MD5 como su m�todo de cifrado por
+ defecto. MD5 se considera m�s seguro que DES, as�
+ que se mantiene la opci�n de poder instalar DES por motivos
de compatibilidad.</para>
<sect2>
<title>C�mo reconocer su mecanismo de cifrado</title>
- <para>En versiones anteriores a &os;&nbsp;4.4
- <filename>libcrypt.a</filename> era un enlace
- simb�lico que apuntaba a la biblioteca que se usaba para el
- cifrado. En &os;&nbsp;4.4 se cambi�
- <filename>libcrypt.a</filename> para ofrecer una biblioteca hash
- configurable de validaci�n de contrase�as.
- Actualmente la biblioteca permite funciones hash DES, MD5 y
- Blowfish. &os; utiliza por defecto MD5 para cifrar
+ <para>En versiones anteriores a &os;&nbsp;4.4
+ <filename>libcrypt.a</filename> era un enlace
+ simb�lico que apuntaba a la biblioteca que se usaba para el
+ cifrado. En &os;&nbsp;4.4 se cambi�
+ <filename>libcrypt.a</filename> para ofrecer una biblioteca hash
+ configurable de validaci�n de contrase�as.
+ Actualmente la biblioteca permite funciones hash DES, MD5 y
+ Blowfish. &os; utiliza por defecto MD5 para cifrar
contrase�as.</para>
- <para>Es muy sencillo identificar qu� m�todo usa &os;
- para cifrar. Una forma es examinando las contrase�as
- cifradas en <filename>/etc/master.passwd</filename>.
- Las contrase�as cifradas con el hash MD5 son m�s
- largas que las cifradas con el hash DES, y tambi�n
- comienzan por los caracteres
- <literal>&dollar;1&dollar;</literal>. Las contrase�as
- que comienzan por <literal>&dollar;2a&dollar;</literal> est�n
- cifradas con la funci�n hash de Blowfish. Las
- contrase�as DES no tienen ninguna
- caracter�stica particular, pero son m�s cortas que
- las contrase�as MD5, y est�n codificadas en un
- alfabeto de 64 caracteres que no incluye el caracter
- <literal>&dollar;</literal>; es por esto que una cadena
- relativamente corta que comience con un signo de
- d�lar es muy probablemente una contrase�a
+ <para>Es muy sencillo identificar qu� m�todo usa &os;
+ para cifrar. Una forma es examinando las contrase�as
+ cifradas en <filename>/etc/master.passwd</filename>.
+ Las contrase�as cifradas con el hash MD5 son m�s
+ largas que las cifradas con el hash DES, y tambi�n
+ comienzan por los caracteres
+ <literal>&dollar;1&dollar;</literal>. Las contrase�as
+ que comienzan por <literal>&dollar;2a&dollar;</literal> est�n
+ cifradas con la funci�n hash de Blowfish. Las
+ contrase�as DES no tienen ninguna
+ caracter�stica particular, pero son m�s cortas que
+ las contrase�as MD5, y est�n codificadas en un
+ alfabeto de 64 caracteres que no incluye el caracter
+ <literal>&dollar;</literal>; es por esto que una cadena
+ relativamente corta que comience con un signo de
+ d�lar es muy probablemente una contrase�a
DES.</para>
- <para>El formato de contrase�a a usar en nuevas
- contrase�as se define en
- <filename>/etc/login.conf</filename> mediante
- <literal>passwd_format</literal>, pudiendo tener los valores
+ <para>El formato de contrase�a a usar en nuevas
+ contrase�as se define en
+ <filename>/etc/login.conf</filename> mediante
+ <literal>passwd_format</literal>, pudiendo tener los valores
<literal>des</literal>, <literal>md5</literal> o
<literal>blf</literal>. Consulte la p�gina de manual
&man.login.conf.5; para m�s informaci�n.</para>
@@ -1238,122 +1238,122 @@
<secondary>Contrase�as de un solo uso</secondary>
</indexterm>
- <para>S/Key es un esquema de contrase�a de un solo uso
- basado en una funci�n de hash de sentido �nico.
- &os; utiliza el
- hash MD4 por compatibilidad, pero otros sistemas usan
- MD5 y DES-MAC. S/Key forma parte del sistema base de &os;
- desde la versi�n 1.1.5 y se usa tambi�n en
- un n�mero creciente de otros sistemas operativos. S/Key
+ <para>S/Key es un esquema de contrase�a de un solo uso
+ basado en una funci�n de hash de sentido �nico.
+ &os; utiliza el
+ hash MD4 por compatibilidad, pero otros sistemas usan
+ MD5 y DES-MAC. S/Key forma parte del sistema base de &os;
+ desde la versi�n 1.1.5 y se usa tambi�n en
+ un n�mero creciente de otros sistemas operativos. S/Key
es una marca registrada de Bell Communications Research, Inc.</para>
- <para>A partir de la versi�n 5.0 de &os; S/Key fu�
+ <para>A partir de la versi�n 5.0 de &os; S/Key fu�
reemplazado por su equivalente OPIE (<quote>One-time Passwords
- In Everything</quote>, <quote>Contrase�as de un solo
+ In Everything</quote>, <quote>Contrase�as de un solo
uso para todo</quote>). OPIE usa por defecto hash MD5.</para>
- <para>En esta secci�n se explican tres tipos de
- contrase�a. La primera es la t�pica
- contrase�a al estilo &unix; o Kerberos; las llamaremos
- <quote>contrase�as &unix;</quote>.
- El segundo tipo es la contrase�a de un solo uso,
- que se genera con el programa <command>key</command> de S/Key o
- con &man.opiekey.1; de OPIE, y que aceptan los programas
+ <para>En esta secci�n se explican tres tipos de
+ contrase�a. La primera es la t�pica
+ contrase�a al estilo &unix; o Kerberos; las llamaremos
+ <quote>contrase�as &unix;</quote>.
+ El segundo tipo es la contrase�a de un solo uso,
+ que se genera con el programa <command>key</command> de S/Key o
+ con &man.opiekey.1; de OPIE, y que aceptan los programas
<command>keyinit</command>, &man.opiepasswd.1;, y el prompt de
- login; llamaremos a esta una
- <quote>contrase�a de un solo uso</quote>.
- El �ltimo tipo de contrase�a es la contrase�a
- secreta que le da usted a los programas
- <command>key</command>/<command>opiekey</command> (y a veces
- <command>keyinit</command>/<command>opiepasswd</command>), que
- se usa para generar contrase�as de un solo uso;
- a estas las llamaremos <quote>contrase�as secretas</quote>,
+ login; llamaremos a esta una
+ <quote>contrase�a de un solo uso</quote>.
+ El �ltimo tipo de contrase�a es la contrase�a
+ secreta que le da usted a los programas
+ <command>key</command>/<command>opiekey</command> (y a veces
+ <command>keyinit</command>/<command>opiepasswd</command>), que
+ se usa para generar contrase�as de un solo uso;
+ a estas las llamaremos <quote>contrase�as secretas</quote>,
o simplemente <quote>contrase�a</quote>.</para>
- <para>La contrase�a secreta no tiene nada que ver con su
- contrase�a &unix;; pueden ser la misma, pero no es
- recomendable. Las contrase�as secretas S/Key y OPIE no
- est�n limitadas a 8 caracteres como las contrase�as
- &unix; antiguas<footnote><para>En &os; la contrase�a del
+ <para>La contrase�a secreta no tiene nada que ver con su
+ contrase�a &unix;; pueden ser la misma, pero no es
+ recomendable. Las contrase�as secretas S/Key y OPIE no
+ est�n limitadas a 8 caracteres como las contrase�as
+ &unix; antiguas<footnote><para>En &os; la contrase�a del
login est�ndar puede ser de hasta 128 caracteres de
- longitud.</para></footnote>, pueden ser tan largas como se quiera.
+ longitud.</para></footnote>, pueden ser tan largas como se quiera.
Las contrase�as con frases de seis o siete palabras muy largas
- son bastante comunes. El funcionamiento del sistema S/Key o el
- OPIE es en gran parte completamente independiente del sistema de
+ son bastante comunes. El funcionamiento del sistema S/Key o el
+ OPIE es en gran parte completamente independiente del sistema de
contrase�as &unix;.</para>
-
- <para>Adem�s de la contrase�a hay dos datos que son
- importantes para S/Key y OPIE. Uno es lo que se conoce como
- <quote>semilla</quote> o <quote>llave</quote>, que consiste en dos
- letras y cinco d�gitos. El otro dato importante se llama
- la <quote>cuenta de iteraci�n</quote>, que es un n�mero
- entre 1 y 100. S/Key genera la contrase�a de un solo
- uso concatenando la semilla y la contrase�a secreta,
- aplica el hash MD4/MD5 tantas veces como especifique la cuenta de
- iteraci�n y convierte el resultado en seis palabras
- cortas en ingl�s. Estas seis palabras en ingl�s
- son su contrase�a de un solo uso. El sistema de
- autentificaci�n (principalmente PAM) mantiene un registro del
- uso de contrase�as de un solo uso, y el usuario
- puede validarse si el hash de la contrase�a que proporciona
- es igual a la contrase�a previa. Como se utiliza un
- hash de sentido �nico es imposible generar futuras
- contrase�as de un solo uso si una contrase�a
- que ya ha sido usada fuera capturada;
- la cuenta de iteraci�n se reduce despu�s de cada login
- correcto para sincronizar al usuario con el programa login.
- Cuanto la iteraci�n llega a 1, S/Key y OPIE deben
+
+ <para>Adem�s de la contrase�a hay dos datos que son
+ importantes para S/Key y OPIE. Uno es lo que se conoce como
+ <quote>semilla</quote> o <quote>llave</quote>, que consiste en dos
+ letras y cinco d�gitos. El otro dato importante se llama
+ la <quote>cuenta de iteraci�n</quote>, que es un n�mero
+ entre 1 y 100. S/Key genera la contrase�a de un solo
+ uso concatenando la semilla y la contrase�a secreta,
+ aplica el hash MD4/MD5 tantas veces como especifique la cuenta de
+ iteraci�n y convierte el resultado en seis palabras
+ cortas en ingl�s. Estas seis palabras en ingl�s
+ son su contrase�a de un solo uso. El sistema de
+ autentificaci�n (principalmente PAM) mantiene un registro del
+ uso de contrase�as de un solo uso, y el usuario
+ puede validarse si el hash de la contrase�a que proporciona
+ es igual a la contrase�a previa. Como se utiliza un
+ hash de sentido �nico es imposible generar futuras
+ contrase�as de un solo uso si una contrase�a
+ que ya ha sido usada fuera capturada;
+ la cuenta de iteraci�n se reduce despu�s de cada login
+ correcto para sincronizar al usuario con el programa login.
+ Cuanto la iteraci�n llega a 1, S/Key y OPIE deben
reinicializar.</para>
- <para>Hay tres programas involucrados en cada uno de estos
- sistemas. Los programas <command>key</command> y
- <command>opiekey</command> aceptan una cuenta iterativa,
- una semilla y una contrase�a secreta, y generan
- una contrase�a de un solo uso o una lista consecutiva
- de contrase�as de un solo uso. Los programas
- <command>keyinit</command> y <command>opiepasswd</command>
- se usan respectivamente para inicializar S/Key y OPIE,
- y para cambiar contrase�as, cuentas iterativas o
- semillas; toman ya sea una frase secreta, o una cuenta
- iterativa y una contrase�a de un solo uso. Los
- programas <command>keyinfo</command> y <command>opieinfo</command>
- examinan los ficheros de credenciales correspondientes
- (<filename>/etc/skeykeys</filename> o
- <filename>/etc/opiekeys</filename>) e imprimen la cuenta
+ <para>Hay tres programas involucrados en cada uno de estos
+ sistemas. Los programas <command>key</command> y
+ <command>opiekey</command> aceptan una cuenta iterativa,
+ una semilla y una contrase�a secreta, y generan
+ una contrase�a de un solo uso o una lista consecutiva
+ de contrase�as de un solo uso. Los programas
+ <command>keyinit</command> y <command>opiepasswd</command>
+ se usan respectivamente para inicializar S/Key y OPIE,
+ y para cambiar contrase�as, cuentas iterativas o
+ semillas; toman ya sea una frase secreta, o una cuenta
+ iterativa y una contrase�a de un solo uso. Los
+ programas <command>keyinfo</command> y <command>opieinfo</command>
+ examinan los ficheros de credenciales correspondientes
+ (<filename>/etc/skeykeys</filename> o
+ <filename>/etc/opiekeys</filename>) e imprimen la cuenta
iterativa y semilla del usuario invocante.</para>
- <para>Explicaremos cuatro tipos de operaciones diferentes.
- La primera es usar <command>keyinit</command> o
- <command>opiepasswd</command> a trav�s de una conexi�n
- segura para configurar contrase�as de un solo uso por
- primera vez, o para cambiar su contrase�a o semilla.
+ <para>Explicaremos cuatro tipos de operaciones diferentes.
+ La primera es usar <command>keyinit</command> o
+ <command>opiepasswd</command> a trav�s de una conexi�n
+ segura para configurar contrase�as de un solo uso por
+ primera vez, o para cambiar su contrase�a o semilla.
La segunda operaci�n es utilizar <command>keyinit</command>
- o <command>opiepasswd</command> a trav�s de una conexi�n
- insegura, adem�s de usar <command>key</command> u
- <command>opiekey</command> sobre una conexi�n segura para
- hacer lo mismo. La tercera es usar
- <command>key</command>/<command>opiekey</command> para conectarse a
- trav�s de una conexi�n insegura. La cuarta es usar
- <command>opiekey</command> o <command>key</command> para generar
- numerosas llaves, que pueden ser escritas para llevarlas con usted
- al ir a alg�n lugar desde el que no se puedan hacer conexiones
+ o <command>opiepasswd</command> a trav�s de una conexi�n
+ insegura, adem�s de usar <command>key</command> u
+ <command>opiekey</command> sobre una conexi�n segura para
+ hacer lo mismo. La tercera es usar
+ <command>key</command>/<command>opiekey</command> para conectarse a
+ trav�s de una conexi�n insegura. La cuarta es usar
+ <command>opiekey</command> o <command>key</command> para generar
+ numerosas llaves, que pueden ser escritas para llevarlas con usted
+ al ir a alg�n lugar desde el que no se puedan hacer conexiones
seguras a ning�n sitio.</para>
<sect2>
<title>Inicializaci�n de conexiones seguras</title>
- <para>Para inicializar S/Key por primera vez cambie su contrase�a,
+ <para>Para inicializar S/Key por primera vez cambie su contrase�a,
o cambie su semilla mientras est� conectado a trav�s de
- una conexi�n segura (esto es, en la consola de una
- m�quina o v�a <application>ssh</application>); use
+ una conexi�n segura (esto es, en la consola de una
+ m�quina o v�a <application>ssh</application>); use
<command>keyinit</command> sin ning�n par�metro:</para>
<screen>&prompt.user; <userinput>keyinit</userinput>
Adding unfurl:
Reminder - Only use this method if you are directly connected.
If you are using telnet or rlogin exit with no password and use keyinit -s.
-Enter secret password:
-Again secret password:
+Enter secret password:
+Again secret password:
ID unfurl s/key is 99 to17757
DEFY CLUB PRO NASH LACE SOFT</screen>
@@ -1373,36 +1373,36 @@ ID unfurl OTP key is 499 to4268
MOS MALL GOAT ARM AVID COED
</screen>
- <para>En <prompt>Enter new secret pass phrase:</prompt> o
- <prompt>Enter secret password:</prompt>, debe introducir
- una contrase�a o frase. Recuerde que no es la
- contrase�a que utilizar� para entrar, se usar�
- para generar sus llaves de un solo uso. La l�nea
- <quote>ID</quote> da los par�metros de su instancia
- en particular: su nombre de login, la cuenta iterativa y
- semilla. En el momento del login el sistema recordar� estos
- par�metros y los presentar� de nuevo para que
- no tenga que recordarlos. La �ltima l�nea proporciona
- las contrase�as de un solo uso que
- corresponden a esos par�metros y su contrase�a
- secreta; si fuera a hacer login de manera inmediata,
+ <para>En <prompt>Enter new secret pass phrase:</prompt> o
+ <prompt>Enter secret password:</prompt>, debe introducir
+ una contrase�a o frase. Recuerde que no es la
+ contrase�a que utilizar� para entrar, se usar�
+ para generar sus llaves de un solo uso. La l�nea
+ <quote>ID</quote> da los par�metros de su instancia
+ en particular: su nombre de login, la cuenta iterativa y
+ semilla. En el momento del login el sistema recordar� estos
+ par�metros y los presentar� de nuevo para que
+ no tenga que recordarlos. La �ltima l�nea proporciona
+ las contrase�as de un solo uso que
+ corresponden a esos par�metros y su contrase�a
+ secreta; si fuera a hacer login de manera inmediata,
deber�a usar esta contrase�a de una sola vez.</para>
</sect2>
<sect2>
<title>Inicializaci�n de conexiones inseguras</title>
-
- <para>Para inicializar o cambiar su contrase�a secreta
- a trav�s de una conexi�n insegura, necesitar�
- tener alguna conexi�n segura a alg�n lugar
- donde pueda ejecutar <command>key</command> u
- <command>opiekey</command>; puede ser gracias a un accesorio de
- escritorio o en una &macintosh;, o un prompt de shell en una
- m�quina en la que conf�e. Necesitar�
- tambi�n una cuenta iterativa (100 probablemente sea un
- buen valor), y puede usar su propia semilla, o usar una generada
- aleatoriamente. Siguiendo con la conexi�n insegura
- (hacia la m�quina que est� inicializando), ejecute
+
+ <para>Para inicializar o cambiar su contrase�a secreta
+ a trav�s de una conexi�n insegura, necesitar�
+ tener alguna conexi�n segura a alg�n lugar
+ donde pueda ejecutar <command>key</command> u
+ <command>opiekey</command>; puede ser gracias a un accesorio de
+ escritorio o en una &macintosh;, o un prompt de shell en una
+ m�quina en la que conf�e. Necesitar�
+ tambi�n una cuenta iterativa (100 probablemente sea un
+ buen valor), y puede usar su propia semilla, o usar una generada
+ aleatoriamente. Siguiendo con la conexi�n insegura
+ (hacia la m�quina que est� inicializando), ejecute
<command>keyinit -s</command>:</para>
<screen>&prompt.user; <userinput>keyinit -s</userinput>
@@ -1410,7 +1410,7 @@ Updating unfurl:
Old key: to17758
Reminder you need the 6 English words from the key command.
Enter sequence count from 1 to 9999: <userinput>100</userinput>
-Enter new key [default to17759]:
+Enter new key [default to17759]:
s/key 100 to 17759
s/key access password:
s/key access password:<userinput>CURE MIKE BANE HIM RACY GORE</userinput>
@@ -1433,12 +1433,12 @@ ID mark OTP key is 499 gr4269
LINE PAP MILK NELL BUOY TROY
</screen>
- <para>Para aceptar la semilla por defecto (la que
- el programa <command>keyinit</command> llama
- <literal>key</literal>, <quote>llave</quote>, para terminar de
- complicar las cosas), pulse <keycap>Enter</keycap>.
- Antes de introducir una una contrase�a de acceso
- cambie a su conexi�n o accesorio de escritorio S/Key y
+ <para>Para aceptar la semilla por defecto (la que
+ el programa <command>keyinit</command> llama
+ <literal>key</literal>, <quote>llave</quote>, para terminar de
+ complicar las cosas), pulse <keycap>Enter</keycap>.
+ Antes de introducir una una contrase�a de acceso
+ cambie a su conexi�n o accesorio de escritorio S/Key y
dele el mismo par�metro:</para>
<screen>&prompt.user; <userinput>key 100 to17759</userinput>
@@ -1455,16 +1455,16 @@ Enter secret pass phrase:
GAME GAG WELT OUT DOWN CHAT
</screen>
- <para>Vuelva a la conexi�n insegura y copie la
- contrase�a de un solo uso generada al programa
+ <para>Vuelva a la conexi�n insegura y copie la
+ contrase�a de un solo uso generada al programa
que quiera usar.</para>
</sect2>
<sect2>
- <title>Generaci�n una sola contrase�a de un solo
+ <title>Generaci�n una sola contrase�a de un solo
uso</title>
- <para>Una vez que ha inicializado S/Key u OPIE, cuando haga login
+ <para>Una vez que ha inicializado S/Key u OPIE, cuando haga login
ver� un <quote>prompt</quote> parecido al siguiente:</para>
<screen>&prompt.user; <userinput>telnet ejemplo.com</userinput>
@@ -1491,34 +1491,34 @@ login: <userinput>&lt;nombre_de_usuario&gt;</userinput>
otp-md5 498 gr4269 ext
Password: </screen>
- <para>Como una nota aparte, el <quote>prompt</quote> de S/Key y OPIE
- cuenta con una opci�n �til (que no se muestra
- aqu�): si pulsa <keycap>Enter</keycap> en el
- <quote>prompt</quote> de contrase�a el
- <quote>prompt</quote> activar� el eco para que pueda ver
- en pantalla lo que teclea. Esto puede ser extremadamente
- �til si est� tecleando una contrase�a a
+ <para>Como una nota aparte, el <quote>prompt</quote> de S/Key y OPIE
+ cuenta con una opci�n �til (que no se muestra
+ aqu�): si pulsa <keycap>Enter</keycap> en el
+ <quote>prompt</quote> de contrase�a el
+ <quote>prompt</quote> activar� el eco para que pueda ver
+ en pantalla lo que teclea. Esto puede ser extremadamente
+ �til si est� tecleando una contrase�a a
a mano o desde un la lista impresa.</para>
<indexterm><primary>MS-DOS</primary></indexterm>
<indexterm><primary>Windows</primary></indexterm>
<indexterm><primary>MacOS</primary></indexterm>
- <para>Ahora necesitar� generar su contrase�a de un
- s�lo uso para responder a este <quote>prompt</quote> de
- login. Debe hacerlo en un sistema digno de confianza y en el que
- pueda ejecutar <command>key</command> u <command>opiekey</command>.
- Existen versiones DOS, &windows; y tambi�n para &macos;.
- Ambos usar�n la cuenta iterativa y la semilla como opciones
- de l�nea de �rdenes. Puede cortarlas y pegarlas desde el
- <quote>prompt</quote> de login de la m�quina en la
+ <para>Ahora necesitar� generar su contrase�a de un
+ s�lo uso para responder a este <quote>prompt</quote> de
+ login. Debe hacerlo en un sistema digno de confianza y en el que
+ pueda ejecutar <command>key</command> u <command>opiekey</command>.
+ Existen versiones DOS, &windows; y tambi�n para &macos;.
+ Ambos usar�n la cuenta iterativa y la semilla como opciones
+ de l�nea de �rdenes. Puede cortarlas y pegarlas desde el
+ <quote>prompt</quote> de login de la m�quina en la
que se est� identificando.</para>
<para>En el sistema de confianza:</para>
<screen>&prompt.user; <userinput>key 97 fw13894</userinput>
Reminder - Do not use this program while logged in via telnet or rlogin.
-Enter secret password:
+Enter secret password:
WELD LIP ACTS ENDS ME HAAG</screen>
<para>Con OPIE:</para>
@@ -1529,7 +1529,7 @@ Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase:
GAME GAG WELT OUT DOWN CHAT</screen>
- <para>Ahora que tiene su contrase�a de un solo uso puede
+ <para>Ahora que tiene su contrase�a de un solo uso puede
proceder con el login:</para>
<screen>login: <userinput>&lt;nombre_de_usuario&gt;</userinput>
@@ -1542,24 +1542,24 @@ Last login: Tue Mar 21 11:56:41 from 10.0.0.2 ... </screen>
</sect2>
<sect2>
- <title>Generaci�n de m�ltiples contrase�as
+ <title>Generaci�n de m�ltiples contrase�as
de un solo uso</title>
- <para>A veces usted hay que ir a lugares donde no hay
- acceso a una m�quina de fiar o a una conexi�n
- segura. En estos casos, puede utilizar
+ <para>A veces usted hay que ir a lugares donde no hay
+ acceso a una m�quina de fiar o a una conexi�n
+ segura. En estos casos, puede utilizar
<command>key</command> y <command>opiekey</command> para
- generar previamente numerosas contrase�as de un solo uso
- para, una vez impresas, llev�rselas a donde hagan falta.
+ generar previamente numerosas contrase�as de un solo uso
+ para, una vez impresas, llev�rselas a donde hagan falta.
Por ejemplo:</para>
<screen>&prompt.user; <userinput>key -n 5 30 zz99999</userinput>
Reminder - Do not use this program while logged in via telnet or rlogin.
Enter secret password: <userinput>&lt;secret password&gt;</userinput>
-26: SODA RUDE LEA LIND BUDD SILT
-27: JILT SPY DUTY GLOW COWL ROT
-28: THEM OW COLA RUNT BONG SCOT
-29: COT MASH BARR BRIM NAN FLAG
+26: SODA RUDE LEA LIND BUDD SILT
+27: JILT SPY DUTY GLOW COWL ROT
+28: THEM OW COLA RUNT BONG SCOT
+29: COT MASH BARR BRIM NAN FLAG
30: CAN KNEE CAST NAME FOLK BILK</screen>
<para>O para OPIE:</para>
@@ -1574,88 +1574,88 @@ Enter secret pass phrase: <userinput>&lt;secret password&gt;</userinput>
29: RIO ODIN GO BYE FURY TIC
30: GREW JIVE SAN GIRD BOIL PHI</screen>
- <para>El <option>-n 5</option> pide cinco llaves en secuencia, la
- opci�n <option>30</option> especifica que ese debe ser el
- �ltimo n�mero de iteraci�n. Observe que se
- imprimen en el orden <emphasis>inverso</emphasis> de uso.
- Si es realmente paranoico escriba los resultados a mano; si no,
- puede enviar la salida a <command>lpr</command>. Observe que
- cada l�nea muestra la cuenta iterativa y la
- contrase�a de un solo uso; puede ir tachando las
+ <para>El <option>-n 5</option> pide cinco llaves en secuencia, la
+ opci�n <option>30</option> especifica que ese debe ser el
+ �ltimo n�mero de iteraci�n. Observe que se
+ imprimen en el orden <emphasis>inverso</emphasis> de uso.
+ Si es realmente paranoico escriba los resultados a mano; si no,
+ puede enviar la salida a <command>lpr</command>. Observe que
+ cada l�nea muestra la cuenta iterativa y la
+ contrase�a de un solo uso; puede ir tachando las
contrase�as seg�n las vaya utilizando.</para>
</sect2>
<sect2>
<title>Restricci�n del uso de contrase�as &unix;</title>
- <para>S/Key puede implantar restricciones en el uso de contrase�as
- &unix; bas�ndose en el nombre de equipo, nombre de usuario,
- puerto de terminal o direcci�n IP de una sesi�n de
- login. Consulte el fichero de configuraci�n
- <filename>/etc/skey.access</filename>. La p�gina de manual
- de &man.skey.access.5; contiene m�s informaci�n sobre el
- formato del fichero y detalla tambi�n algunas precauciones
- de seguridad que hay que tener en cuenta antes de basar nuestra
+ <para>S/Key puede implantar restricciones en el uso de contrase�as
+ &unix; bas�ndose en el nombre de equipo, nombre de usuario,
+ puerto de terminal o direcci�n IP de una sesi�n de
+ login. Consulte el fichero de configuraci�n
+ <filename>/etc/skey.access</filename>. La p�gina de manual
+ de &man.skey.access.5; contiene m�s informaci�n sobre el
+ formato del fichero y detalla tambi�n algunas precauciones
+ de seguridad que hay que tener en cuenta antes de basar nuestra
seguridad en este fichero.</para>
- <para>Si <filename>/etc/skey.access</filename> no existiera
- (por defecto es as� en sistemas &os;&nbsp;4.X) todos los
- usuarios podr�n disponer de contrase�as &unix;.
- Si el fichero existe se exigir� a todos los usuarios
- el uso de S/Key, a menos que se configure de otro modo en
- <filename>skey.access</filename>. En todos los casos las
+ <para>Si <filename>/etc/skey.access</filename> no existiera
+ (por defecto es as� en sistemas &os;&nbsp;4.X) todos los
+ usuarios podr�n disponer de contrase�as &unix;.
+ Si el fichero existe se exigir� a todos los usuarios
+ el uso de S/Key, a menos que se configure de otro modo en
+ <filename>skey.access</filename>. En todos los casos las
contrase�as &unix; son admiten en consola.</para>
- <para>Aqu� hay un ejemplo del fichero de configuraci�n
- <filename>skey.access</filename> que muestra las tres formas m�s
+ <para>Aqu� hay un ejemplo del fichero de configuraci�n
+ <filename>skey.access</filename> que muestra las tres formas m�s
comunes de configuraci�n:</para>
<programlisting>permit internet 192.168.0.0 255.255.0.0
permit user fnord
permit port ttyd0</programlisting>
- <para>La primera l�nea (<literal>permit internet</literal>)
- permite a usuarios cuyas direcciones IP origen (las cuales son
- vulnerables a una falsificaci�n) concuerden con los valores
- y m�scara especificados utilizar contrase�as &unix;.
- Esto no debe usarse como mecanismo de seguridad, sino como
- medio de recordarle a los usuarios autorizados que est�n
- usando una red insegura y necesitan utilizar S/Key para
+ <para>La primera l�nea (<literal>permit internet</literal>)
+ permite a usuarios cuyas direcciones IP origen (las cuales son
+ vulnerables a una falsificaci�n) concuerden con los valores
+ y m�scara especificados utilizar contrase�as &unix;.
+ Esto no debe usarse como mecanismo de seguridad, sino como
+ medio de recordarle a los usuarios autorizados que est�n
+ usando una red insegura y necesitan utilizar S/Key para
la validaci�n.</para>
- <para>La segunda l�nea (<literal>permit user</literal>)
- permite al nombre de usuario especificado, en este caso
- <username>fnord</username>, utilizar contrase�as &unix;
+ <para>La segunda l�nea (<literal>permit user</literal>)
+ permite al nombre de usuario especificado, en este caso
+ <username>fnord</username>, utilizar contrase�as &unix;
en cualquier momento. Hablando en general, esto solo debe ser
- usado por gente que no puede usar el programa <command>key</command>,
- como aquellos con terminales tontas o refractarios al
+ usado por gente que no puede usar el programa <command>key</command>,
+ como aquellos con terminales tontas o refractarios al
aprendizaje.</para>
- <para>La tercera l�nea (<literal>permit port</literal>)
- permite a todos los usuarios validados en la l�nea de
- terminal especificada utilizar contrase�as &unix;;
- esto puede usarse para usuarios que se conectan mediante
+ <para>La tercera l�nea (<literal>permit port</literal>)
+ permite a todos los usuarios validados en la l�nea de
+ terminal especificada utilizar contrase�as &unix;;
+ esto puede usarse para usuarios que se conectan mediante
<quote>dial-ups</quote>.</para>
- <para>OPIE puede restringir el uso de contrase�as &unix;
- bas�ndose en la direcci�n IP de una sesi�n
- de login igual que lo har�a S/Key. El fichero que gestiona
- esto es <filename>/etc/opieaccess</filename>, que est�
- inclu�do por defecto en sistemas &os;&nbsp;5.0 o posteriores.
- Revise &man.opieaccess.5; para m�s informaci�n sobre
- este fichero y qu� consideraciones de seguridad debe tener
+ <para>OPIE puede restringir el uso de contrase�as &unix;
+ bas�ndose en la direcci�n IP de una sesi�n
+ de login igual que lo har�a S/Key. El fichero que gestiona
+ esto es <filename>/etc/opieaccess</filename>, que est�
+ inclu�do por defecto en sistemas &os;&nbsp;5.0 o posteriores.
+ Revise &man.opieaccess.5; para m�s informaci�n sobre
+ este fichero y qu� consideraciones de seguridad debe tener
presentes a la hora de usarlo.</para>
-
+
<para>Veamos un ejemplo de <filename>opieaccess</filename>:</para>
<programlisting>permit 192.168.0.0 255.255.0.0</programlisting>
- <para>Esta l�nea permite a usuarios cuya direcci�n
- IP de origen (vulnerable a falsificaci�n) concuerde
+ <para>Esta l�nea permite a usuarios cuya direcci�n
+ IP de origen (vulnerable a falsificaci�n) concuerde
con los valores y m�scara especificados, utilizar
contrase�as &unix; en cualquier momento.</para>
-
- <para>Si no concuerda ninguna regla en <filename>opieaccess</filename>
+
+ <para>Si no concuerda ninguna regla en <filename>opieaccess</filename>
se niegan por defecto los logins no-OPIE.</para>
</sect2>
@@ -1675,142 +1675,142 @@ permit port ttyd0</programlisting>
<title>TCP Wrappers</title>
<indexterm><primary>TCP Wrappers</primary></indexterm>
-
- <para>Cualquiera que est� familiarizado con &man.inetd.8;
- probablemente haya o�do hablar de
- <acronym>TCP</acronym> Wrappers, pero poca gente parece comprender
- completamente su utilidad en un entorno de red. Parece que
- todos quieren instalar un cortafuegos para manejar conexiones
- de red. Aunque un cortafuegos tiene una amplia variedad de
- usos hay cosas que un cortafuegos no es capaz de gestionar,
- como el env�o de texto como respuesta al creador de la
- conexi�n. El software <acronym>TCP</acronym> hace esto
- y m�s. En las siguientes secciones se explicar�n
- unas cuantas opciones de
- <acronym>TCP</acronym> Wrappers y, cuando sea necesario, se
+
+ <para>Cualquiera que est� familiarizado con &man.inetd.8;
+ probablemente haya o�do hablar de
+ <acronym>TCP</acronym> Wrappers, pero poca gente parece comprender
+ completamente su utilidad en un entorno de red. Parece que
+ todos quieren instalar un cortafuegos para manejar conexiones
+ de red. Aunque un cortafuegos tiene una amplia variedad de
+ usos hay cosas que un cortafuegos no es capaz de gestionar,
+ como el env�o de texto como respuesta al creador de la
+ conexi�n. El software <acronym>TCP</acronym> hace esto
+ y m�s. En las siguientes secciones se explicar�n
+ unas cuantas opciones de
+ <acronym>TCP</acronym> Wrappers y, cuando sea necesario, se
mostrar�n ejemplos de configuraciones.</para>
-
- <para>El software <acronym>TCP</acronym> Wrappers extiende
- las habilidades de <command>inetd</command> para ofrecer
- soporte para cada servidor d&aelig;mon bajo su control.
- Utilizando este m�todo es posible proveer soporte de
- logs, devolver mensajes a conexiones, permitir a un d&aelig;mon
- aceptar solamente conexiones internas, etc. Aunque algunas de estas
- opciones pueden conseguirse gracias a un cortafuegos, no s�lo
- a�adir� una capa extra de seguridad, sino que ir�
- m�s all� del nivel de control ue un cortafuegos
+
+ <para>El software <acronym>TCP</acronym> Wrappers extiende
+ las habilidades de <command>inetd</command> para ofrecer
+ soporte para cada servidor d&aelig;mon bajo su control.
+ Utilizando este m�todo es posible proveer soporte de
+ logs, devolver mensajes a conexiones, permitir a un d&aelig;mon
+ aceptar solamente conexiones internas, etc. Aunque algunas de estas
+ opciones pueden conseguirse gracias a un cortafuegos, no s�lo
+ a�adir� una capa extra de seguridad, sino que ir�
+ m�s all� del nivel de control ue un cortafuegos
puede ofrecerle.</para>
- <para>Las brillantes capacidades de <acronym>TCP</acronym> Wrappers
- no deben considerarse una alternativa a un buen cortafuegos.
- <acronym>TCP</acronym> Wrappers puede usarse conjuntamente con un
- cortafuegos u otro sistema de de seguridad, pues ofrece una capa
+ <para>Las brillantes capacidades de <acronym>TCP</acronym> Wrappers
+ no deben considerarse una alternativa a un buen cortafuegos.
+ <acronym>TCP</acronym> Wrappers puede usarse conjuntamente con un
+ cortafuegos u otro sistema de de seguridad, pues ofrece una capa
extra de protecci�n para el sistema.</para>
- <para>Ya que es una extensi�n de la configuraci�n
- de <command>inetd</command>, se da por hecho que el lector ha
- le�do la secci�n
+ <para>Ya que es una extensi�n de la configuraci�n
+ de <command>inetd</command>, se da por hecho que el lector ha
+ le�do la secci�n
<link linkend="network-inetd">configuraci�n de inetd</link>.</para>
<note>
- <para>Aunque los programas ejecutados por &man.inetd.8; no son
- exactamente <quote>d&aelig;mons</quote> tradicionalmente han
- recibido ese nombre. D&aelig;mon es, por tanto, el t�rmino
+ <para>Aunque los programas ejecutados por &man.inetd.8; no son
+ exactamente <quote>d&aelig;mons</quote> tradicionalmente han
+ recibido ese nombre. D&aelig;mon es, por tanto, el t�rmino
que usaremos en esta secci�n.</para>
</note>
<sect2>
<title>Configuraci�n inicial</title>
- <para>El �nico requisito para usar
- <acronym>TCP</acronym> Wrappers en &os; es que el servidor
- <command>inetd</command> se inicie desde
- <filename>rc.conf</filename> con la opci�n
- <option>-Ww</option> (es la configuraci�n
- por defecto). Por descontado, se presupone que
- <filename>/etc/hosts.allow</filename> estar� correctamente
- configurado, pero &man.syslogd.8; enviar� mensajes
+ <para>El �nico requisito para usar
+ <acronym>TCP</acronym> Wrappers en &os; es que el servidor
+ <command>inetd</command> se inicie desde
+ <filename>rc.conf</filename> con la opci�n
+ <option>-Ww</option> (es la configuraci�n
+ por defecto). Por descontado, se presupone que
+ <filename>/etc/hosts.allow</filename> estar� correctamente
+ configurado, pero &man.syslogd.8; enviar� mensajes
a los logs del sistema si no es as�.</para>
<note>
- <para>A diferencia de otras implementaciones de <acronym>TCP</acronym>
- Wrappers, se ha dejado de usar
- <filename>hosts.deny</filename>. Todas las opciones de
- configuraci�n deben ir en
+ <para>A diferencia de otras implementaciones de <acronym>TCP</acronym>
+ Wrappers, se ha dejado de usar
+ <filename>hosts.deny</filename>. Todas las opciones de
+ configuraci�n deben ir en
<filename>/etc/hosts.allow</filename>.</para>
</note>
- <para>En la configuraci�n m�s simple las
- pol�ticas de conexi�n de d&aelig;mons est�n
- configuradas ya sea a permitir o bloquear, dependiendo de
- las opciones en <filename>/etc/hosts.allow</filename>.
- La configuraci�n por defecto en &os; consiste en
- permitir una conexi�n a cada d&aelig;mon iniciado por
- <command>inetd</command>. Es posible modificar esta
- configuraci�n, pero explicaremos c�mo hacerlo
- despu�s de exponer la configuraci�n
+ <para>En la configuraci�n m�s simple las
+ pol�ticas de conexi�n de d&aelig;mons est�n
+ configuradas ya sea a permitir o bloquear, dependiendo de
+ las opciones en <filename>/etc/hosts.allow</filename>.
+ La configuraci�n por defecto en &os; consiste en
+ permitir una conexi�n a cada d&aelig;mon iniciado por
+ <command>inetd</command>. Es posible modificar esta
+ configuraci�n, pero explicaremos c�mo hacerlo
+ despu�s de exponer la configuraci�n
b�sica.</para>
- <para>La configuraci�n b�sica tiene la estructura
- <literal>d&aelig;mon : direcci�n : acci�n</literal>,
- donde <literal>d&aelig;mon</literal> es el nombre de d&aelig;mon
- que inicia <command>inetd</command>. La
- <literal>direcci�n</literal> puede ser un nombre
- de equipo v�lido, una direcci�n IP o
- IPv6 encerrada en corchetes ([&nbsp;]). El campo
- acci�n puede ser permitir o denegar para el
- dar el acceso apropiado. Tenga presente que la
+ <para>La configuraci�n b�sica tiene la estructura
+ <literal>d&aelig;mon : direcci�n : acci�n</literal>,
+ donde <literal>d&aelig;mon</literal> es el nombre de d&aelig;mon
+ que inicia <command>inetd</command>. La
+ <literal>direcci�n</literal> puede ser un nombre
+ de equipo v�lido, una direcci�n IP o
+ IPv6 encerrada en corchetes ([&nbsp;]). El campo
+ acci�n puede ser permitir o denegar para el
+ dar el acceso apropiado. Tenga presente que la
configuraci�n funciona en base a la primera
- regla cuya sem�ntica concuerde;
- esto significa que el fichero de configuraci�n se
- lee en orden ascendente hasta que concuerde una regla.
- Cuando se encuentra una concordancia se aplica la regla
+ regla cuya sem�ntica concuerde;
+ esto significa que el fichero de configuraci�n se
+ lee en orden ascendente hasta que concuerde una regla.
+ Cuando se encuentra una concordancia se aplica la regla
y el proceso se detendr�.</para>
- <para>Existen muchas otras opciones pero estas se
+ <para>Existen muchas otras opciones pero estas se
explican en una secci�n posterior. Una l�nea
- de configuraci�n simple puede generarse mediante datos
- as� de simples. Por ejemplo, para permitir conexiones
- <acronym>POP</acronym>3 mediante el d&aelig;mon
- <filename role="package">mail/qpopper</filename>, a�ada
- las siguientes l�neas a
+ de configuraci�n simple puede generarse mediante datos
+ as� de simples. Por ejemplo, para permitir conexiones
+ <acronym>POP</acronym>3 mediante el d&aelig;mon
+ <filename role="package">mail/qpopper</filename>, a�ada
+ las siguientes l�neas a
<filename>hosts.allow</filename>:</para>
<programlisting># This line is required for POP3 connections:
qpopper : ALL : allow</programlisting>
- <para>Despues de a�adir esta l�nea tendr� que
- reiniciar <command>inetd</command>. Use &man.kill.1; o use el
- par�metro <parameter>restart</parameter> de
+ <para>Despues de a�adir esta l�nea tendr� que
+ reiniciar <command>inetd</command>. Use &man.kill.1; o use el
+ par�metro <parameter>restart</parameter> de
<filename>/etc/rc.d/inetd</filename>.</para>
</sect2>
<sect2>
<title>Configuraci�n avanzada</title>
- <para>Las opciones avanzadas de <acronym>TCP</acronym> Wrappers
- le permiten un mayor control sobre la gesti�n de
- conexiones. En algunos casos puede convenir el en�o de
- un comentario a ciertos equipos o conexiones de d&aelig;mons.
- En otros casos, quiz�s se deba registrar una entrada en
- un log o enviar un correo al administrador. Otro tipo de
- situaciones pueden requerir el uso de un servicio
- solamente para conexiones locales. Todo esto es posible gracias
- al uso de unas opciones de configuraci�n conocidas
- como <literal>comodines</literal>, caracteres de expansi�n
- y ejecuci�n de �rdenes externas. Las siguientes dos
+ <para>Las opciones avanzadas de <acronym>TCP</acronym> Wrappers
+ le permiten un mayor control sobre la gesti�n de
+ conexiones. En algunos casos puede convenir el en�o de
+ un comentario a ciertos equipos o conexiones de d&aelig;mons.
+ En otros casos, quiz�s se deba registrar una entrada en
+ un log o enviar un correo al administrador. Otro tipo de
+ situaciones pueden requerir el uso de un servicio
+ solamente para conexiones locales. Todo esto es posible gracias
+ al uso de unas opciones de configuraci�n conocidas
+ como <literal>comodines</literal>, caracteres de expansi�n
+ y ejecuci�n de �rdenes externas. Las siguientes dos
secciones intentar�n cubrir estas situaciones.</para>
-
+
<sect3>
<title>�rdenes externas</title>
- <para>Imaginemos una situaci�n en la que una
- conexi�n debe ser denegada pero se debe mandar un motivo
- a quien intent� establecer esa conexi�n.
- ?C�mo? Mediante la opci�n
- <option>twist</option>. Ante un intento de conexi�n se
- invoca a <option>twist</option>, que ejecuta una orden de shell
- o un <quote>script</quote>. Tiene un ejemplo en el fichero
+ <para>Imaginemos una situaci�n en la que una
+ conexi�n debe ser denegada pero se debe mandar un motivo
+ a quien intent� establecer esa conexi�n.
+ ?C�mo? Mediante la opci�n
+ <option>twist</option>. Ante un intento de conexi�n se
+ invoca a <option>twist</option>, que ejecuta una orden de shell
+ o un <quote>script</quote>. Tiene un ejemplo en el fichero
<filename>hosts.allow</filename>:</para>
<programlisting># The rest of the daemons are protected.
@@ -1819,31 +1819,31 @@ ALL : ALL \
: twist /bin/echo "No se permite utilizar %d desde %h."</programlisting>
<para>Este ejemplo muestra que el mensaje,
- <quote>No se permite utilizar <literal>d&aelig;mon</literal>
- desde <literal>nombre de equipo</literal>.</quote> se
- enviar� en el caso de cualquier d&aelig;mon no configurado
- previamente en el fichero de acceso.
+ <quote>No se permite utilizar <literal>d&aelig;mon</literal>
+ desde <literal>nombre de equipo</literal>.</quote> se
+ enviar� en el caso de cualquier d&aelig;mon no configurado
+ previamente en el fichero de acceso.
Esto es extremadamente �til para enviar una respuesta
- al creador de la conexi�n justo despu�s de
- que la conexi�n establecida es rechazada. Observe que
- cualquier mensaje que se desee enviar <emphasis>debe ir</emphasis>
- entre comillas <literal>"</literal>; esta regla no tiene
+ al creador de la conexi�n justo despu�s de
+ que la conexi�n establecida es rechazada. Observe que
+ cualquier mensaje que se desee enviar <emphasis>debe ir</emphasis>
+ entre comillas <literal>"</literal>; esta regla no tiene
excepciones.</para>
<warning>
- <para> Es posible lanzar un ataque de denegaci�n
- de servicio al servidor si un atacante o grupo de
- atacantes pueden llegar a sobrecargar estos d&aelig;mons
+ <para> Es posible lanzar un ataque de denegaci�n
+ de servicio al servidor si un atacante o grupo de
+ atacantes pueden llegar a sobrecargar estos d&aelig;mons
con peticiones de conexi�n.</para>
</warning>
- <para>Otra posibilidad en estos casos es usar la opci�n
- <option>spawn</option>. Igual que <option>twist</option>,
- <option>spawn</option> niega impl�citamente la
- conexi�n, y puede usarse para ejecutar �rdenes de
- shell externos o <quote>scripts</quote>. A diferencia de
- <option>twist</option>, <option>spawn</option> no
- enviar� una respuesta al origen de la conexi�n.
+ <para>Otra posibilidad en estos casos es usar la opci�n
+ <option>spawn</option>. Igual que <option>twist</option>,
+ <option>spawn</option> niega impl�citamente la
+ conexi�n, y puede usarse para ejecutar �rdenes de
+ shell externos o <quote>scripts</quote>. A diferencia de
+ <option>twist</option>, <option>spawn</option> no
+ enviar� una respuesta al origen de la conexi�n.
Veamos un ejemplo; observe la siguiente l�nea de
configuraci�n:</para>
@@ -1853,60 +1853,60 @@ ALL : .ejemplo.com \
/var/log/connections.log) \
: deny</programlisting>
- <para>Esto denegar� todos los intentos de conexi�n
- desde el dominio <hostid role="fqdn">*.ejemplo.com</hostid>;
- simult�neamente crear� una entrada con
- el nombre del equipo, direcci�n <acronym>IP</acronym>
- y el d&aelig;mon al que intent� conectarse al fichero
+ <para>Esto denegar� todos los intentos de conexi�n
+ desde el dominio <hostid role="fqdn">*.ejemplo.com</hostid>;
+ simult�neamente crear� una entrada con
+ el nombre del equipo, direcci�n <acronym>IP</acronym>
+ y el d&aelig;mon al que intent� conectarse al fichero
<filename>/var/log/connections.log</filename>.</para>
- <para>Adem�s de la sustituci�n de caracteres ya
- expuesta m�s arriba (por ejemplo %a) existen unas
- cuantas m�s. Si quiere ver la lista completa consulte
+ <para>Adem�s de la sustituci�n de caracteres ya
+ expuesta m�s arriba (por ejemplo %a) existen unas
+ cuantas m�s. Si quiere ver la lista completa consulte
la p�gina de manual &man.hosts.access.5;.</para>
</sect3>
<sect3>
<title>Opciones comod�n</title>
- <para>Hasta ahora se ha usado <literal>ALL</literal> en todos
- los ejemplos, pero hay otras opciones interesantes para
- extender un poco m�s la funcionalidad. Por ejemplo,
- <literal>ALL</literal> puede usarse para concordar con cualquier
- instancia ya sea un d&aelig;mon, dominio o
- direcci�n <acronym>IP</acronym>. Otro comod�n
- es <literal>PARANOID</literal>, que puede utilizarse para
- concordar con cualquier equipo que presente una
- direcci�n <acronym>IP</acronym> que pueda estar
- falsificada. En otras palabras, <literal>paranoid</literal>
- puede usarse para definir una acci�n a tomar
- siempre que tenga lugar una conexi�n desde una
- direcci�n <acronym>IP</acronym> que difiera de su
+ <para>Hasta ahora se ha usado <literal>ALL</literal> en todos
+ los ejemplos, pero hay otras opciones interesantes para
+ extender un poco m�s la funcionalidad. Por ejemplo,
+ <literal>ALL</literal> puede usarse para concordar con cualquier
+ instancia ya sea un d&aelig;mon, dominio o
+ direcci�n <acronym>IP</acronym>. Otro comod�n
+ es <literal>PARANOID</literal>, que puede utilizarse para
+ concordar con cualquier equipo que presente una
+ direcci�n <acronym>IP</acronym> que pueda estar
+ falsificada. En otras palabras, <literal>paranoid</literal>
+ puede usarse para definir una acci�n a tomar
+ siempre que tenga lugar una conexi�n desde una
+ direcci�n <acronym>IP</acronym> que difiera de su
nombre de equipo. Quiz�s todo se vea m�s claro
con el siguiente ejemplo:</para>
<programlisting># Bloquear peticiones posiblemente falsificadas a sendmail:
sendmail : PARANOID : deny</programlisting>
- <para>En ese ejemplo todas las peticiones de conexi�n
- a <command>sendmail</command> que tengan una
- direcci�n <acronym>IP</acronym> que var�e
+ <para>En ese ejemplo todas las peticiones de conexi�n
+ a <command>sendmail</command> que tengan una
+ direcci�n <acronym>IP</acronym> que var�e
de su nombre de equipo ser�n denegadas.</para>
<caution>
- <para>Utilizando <literal>PARANOID</literal> puede bloquear el
- acceso a servidores si el cliente o el servidor
- tiene una configuraci�n de
- <acronym>DNS</acronym> incorrecta. Recomendamos al
+ <para>Utilizando <literal>PARANOID</literal> puede bloquear el
+ acceso a servidores si el cliente o el servidor
+ tiene una configuraci�n de
+ <acronym>DNS</acronym> incorrecta. Recomendamos al
administrador la m�xima cautela en su uso.</para>
</caution>
- <para>Consulte &man.hosts.access.5; si quiere saber m�s
+ <para>Consulte &man.hosts.access.5; si quiere saber m�s
sobre los comodines y sus posibilidades de uso.</para>
- <para>Si quiere que cualquiera de los ejemplos citados
- funcione debe comentar la primera l�nea de
- <filename>hosts.allow</filename> (tal y como se dijo
+ <para>Si quiere que cualquiera de los ejemplos citados
+ funcione debe comentar la primera l�nea de
+ <filename>hosts.allow</filename> (tal y como se dijo
al principio de la secci�n.</para>
</sect3>
</sect2>
@@ -1932,15 +1932,15 @@ sendmail : PARANOID : deny</programlisting>
<title><application>KerberosIV</application></title>
- <para>Kerberos es un sistema/protocolo de red agregado que permite
- a los usuarios identificarse a trav�s de los servicios de un
- servidor seguro. Los servicios como login remoto, copia remota, copias
- de ficheros de un sistema a otro y otras tantas tareas arriesgadas
+ <para>Kerberos es un sistema/protocolo de red agregado que permite
+ a los usuarios identificarse a trav�s de los servicios de un
+ servidor seguro. Los servicios como login remoto, copia remota, copias
+ de ficheros de un sistema a otro y otras tantas tareas arriesgadas
pasan a ser considerablemente seguras y m�s controlables.</para>
- <para>Las siguientes instrucciones pueden usarse como una gu�a
- para configurar Kerberos tal y como se distribuye con &os;. De todas
- maneras, debe consultar diversas p�ginas de manual para
+ <para>Las siguientes instrucciones pueden usarse como una gu�a
+ para configurar Kerberos tal y como se distribuye con &os;. De todas
+ maneras, debe consultar diversas p�ginas de manual para
conocer todos los detalles.</para>
<sect2>
@@ -1951,53 +1951,53 @@ sendmail : PARANOID : deny</programlisting>
<primary>KerberosIV</primary>
<secondary>instalaci�n</secondary>
</indexterm>
- <para>Kerberos es un componente opcional de &os;. La manera
- m�s f�cil de instalar este software es
- seleccionando la distribuci�n <literal>krb4</literal> o
- <literal>krb5</literal> en <application>sysinstall</application>
- durante la instalaci�n inicial de &os;. Desde ah�
- instalar� la implementaci�n de Kerberos
- <quote>eBones</quote> (KerberosIV) o
- <quote>Heimdal</quote> (Kerberos5).
- Estas implementaciones se incluyen porque a que han sido
- desarrolladas fuera de EEUU y Canad�, lo que las
- convert�a en accesibles para administradores de sistemas
- del resto del mundo durante la �poca restrictiva de control
- control de exportaciones de c�digo
+ <para>Kerberos es un componente opcional de &os;. La manera
+ m�s f�cil de instalar este software es
+ seleccionando la distribuci�n <literal>krb4</literal> o
+ <literal>krb5</literal> en <application>sysinstall</application>
+ durante la instalaci�n inicial de &os;. Desde ah�
+ instalar� la implementaci�n de Kerberos
+ <quote>eBones</quote> (KerberosIV) o
+ <quote>Heimdal</quote> (Kerberos5).
+ Estas implementaciones se incluyen porque a que han sido
+ desarrolladas fuera de EEUU y Canad�, lo que las
+ convert�a en accesibles para administradores de sistemas
+ del resto del mundo durante la �poca restrictiva de control
+ control de exportaciones de c�digo
criptogr�fico desde EEUU.</para>
- <para>Tambi�n puede instalar la implementaci�n de
- Kerberos del MIT desde la colecci�n de ports
+ <para>Tambi�n puede instalar la implementaci�n de
+ Kerberos del MIT desde la colecci�n de ports
(<filename role="package">security/krb5</filename>).</para>
</sect2>
<sect2>
<title>Creaci�n de la base de datos inicial</title>
-
- <para>Esto solo debe hacerse en el servidor Kerberos. Lo primero
- es asegurarse de que no tiene bases de datos de Kerberos
- anteriores. Entre al directorio <filename>/etc/kerberosIV</filename>
- y aseg�rese de que solo est�n los siguientes
+
+ <para>Esto solo debe hacerse en el servidor Kerberos. Lo primero
+ es asegurarse de que no tiene bases de datos de Kerberos
+ anteriores. Entre al directorio <filename>/etc/kerberosIV</filename>
+ y aseg�rese de que solo est�n los siguientes
ficheros:</para>
-
+
<screen>&prompt.root; <userinput>cd /etc/kerberosIV</userinput>
&prompt.root; <userinput>ls</userinput>
README krb.conf krb.realms</screen>
-
- <para>Si existe cualquier otro fichero (como
- <filename>principal.*</filename>
- o <filename>master_key</filename>) utilice
+
+ <para>Si existe cualquier otro fichero (como
+ <filename>principal.*</filename>
+ o <filename>master_key</filename>) utilice
<command>kdb_destroy</command> para destruir la base
- de datos antigua de Kerberos. Si Kerberos no est�
+ de datos antigua de Kerberos. Si Kerberos no est�
funcionando simplemente borre los ficheros sobrantes.</para>
-
- <para>Edite <filename>krb.conf</filename>
- y <filename>krb.realms</filename> para definir su dominio
- Kerberos. En nuestro ejemplo el dominio ser�
- <literal>EJEMPLO.COM</literal> y el servidor es
- <hostid role="fqdn">grunt.ejemplo.com</hostid>.
+
+ <para>Edite <filename>krb.conf</filename>
+ y <filename>krb.realms</filename> para definir su dominio
+ Kerberos. En nuestro ejemplo el dominio ser�
+ <literal>EJEMPLO.COM</literal> y el servidor es
+ <hostid role="fqdn">grunt.ejemplo.com</hostid>.
Editamos o creamos <filename>krb.conf</filename>:</para>
-
+
<screen>&prompt.root; <userinput>cat krb.conf</userinput>
EJEMPLO.COM
EJEMPLO.COM grunt.ejemplo.com admin server
@@ -2009,102 +2009,102 @@ ATHENA.MIT.EDU kerberos-3.mit.edu
LCS.MIT.EDU kerberos.lcs.mit.edu
TELECOM.MIT.EDU bitsy.mit.edu
ARC.NASA.GOV trident.arc.nasa.gov</screen>
-
- <para>Los dem�s dominios no deben estar forzosamente en la
- configuraci�n. Los hemos incluido como ejemplo de
- c�mo puede hacerse que una m�quina trabaje con
- m�ltiples dominios. Si quiere mantener todo simple puede
+
+ <para>Los dem�s dominios no deben estar forzosamente en la
+ configuraci�n. Los hemos incluido como ejemplo de
+ c�mo puede hacerse que una m�quina trabaje con
+ m�ltiples dominios. Si quiere mantener todo simple puede
abstenerse de incluirlos.</para>
-
- <para>La primera l�nea es el dominio en el que el
- sistema funcionar�. Las dem�s l�neas
- contienen entradas dominio/equipo. El primer componente de cada
- l�nea es un dominio y el segundo es un equipo de ese
- dominio, que act�a como
- <quote>centro de distribuci�n de llaves</quote>.
- Las palabras <literal>admin server</literal> que siguen al
- nombre de equipo significan que ese equipo tambi�n
- ofrece un servidor de base da datos administrativo.
- Si quiere consultar una explicaci�n m�s completa de
- estos t�rminos consulte las p�ginas de manual de
- de Kerberos.</para>
-
- <para>Ahora a�adiremos
- <hostid role="fqdn">grunt.ejemplo.com</hostid> al dominio
- <literal>EJEMPLO.COM</literal> y tambi�n una entrada
- para poner todos los equipos en el dominio
- <hostid role="domainname">.ejemplo.com</hostid> Kerberos
- <literal>EJEMPLO.COM</literal>. Puede actualizar su
+
+ <para>La primera l�nea es el dominio en el que el
+ sistema funcionar�. Las dem�s l�neas
+ contienen entradas dominio/equipo. El primer componente de cada
+ l�nea es un dominio y el segundo es un equipo de ese
+ dominio, que act�a como
+ <quote>centro de distribuci�n de llaves</quote>.
+ Las palabras <literal>admin server</literal> que siguen al
+ nombre de equipo significan que ese equipo tambi�n
+ ofrece un servidor de base da datos administrativo.
+ Si quiere consultar una explicaci�n m�s completa de
+ estos t�rminos consulte las p�ginas de manual de
+ de Kerberos.</para>
+
+ <para>Ahora a�adiremos
+ <hostid role="fqdn">grunt.ejemplo.com</hostid> al dominio
+ <literal>EJEMPLO.COM</literal> y tambi�n una entrada
+ para poner todos los equipos en el dominio
+ <hostid role="domainname">.ejemplo.com</hostid> Kerberos
+ <literal>EJEMPLO.COM</literal>. Puede actualizar su
<filename>krb.realms</filename> del siguiente modo:</para>
-
+
<screen>&prompt.root; <userinput>cat krb.realms</userinput>
grunt.ejemplo.com EJEMPLO.COM
.ejemplo.com EJEMPLO.COM
.berkeley.edu CS.BERKELEY.EDU
.MIT.EDU ATHENA.MIT.EDU
.mit.edu ATHENA.MIT.EDU</screen>
-
- <para>Igual que en caso previo, no tiene por qu� incluir
- los dem�s dominios. Se han incluido para mostrar
- c�mo puede usar una m�quina en m�ltiples
- dominios. Puede eliminarlos y simplificar la
+
+ <para>Igual que en caso previo, no tiene por qu� incluir
+ los dem�s dominios. Se han incluido para mostrar
+ c�mo puede usar una m�quina en m�ltiples
+ dominios. Puede eliminarlos y simplificar la
configuraci�n.</para>
-
- <para>La primera l�nea pone al sistema
- <emphasis>espec�fico</emphasis>
- en el dominio nombrado. El resto de las l�neas muestran
- c�mo asignar por defecto sistemas de un subdominio
+
+ <para>La primera l�nea pone al sistema
+ <emphasis>espec�fico</emphasis>
+ en el dominio nombrado. El resto de las l�neas muestran
+ c�mo asignar por defecto sistemas de un subdominio
a un dominio Kerberos.</para>
-
- <para>Ya podemos crear la base de datos. Solo se ejecuta en el
- servidor Kerberos (o centro de distribuci�n de
+
+ <para>Ya podemos crear la base de datos. Solo se ejecuta en el
+ servidor Kerberos (o centro de distribuci�n de
llaves). Ejecute <command>kdb_init</command>:</para>
-
+
<screen>&prompt.root; <userinput>kdb_init</userinput>
<prompt>Realm name [default ATHENA.MIT.EDU ]:</prompt> <userinput>EJEMPLO.COM</userinput>
You will be prompted for the database Master Password.
It is important that you NOT FORGET this password.
-
+
<prompt>Enter Kerberos master key:</prompt> </screen>
-
- <para>Ahora tendremos que guardar la llave para que los servidores en
- la m�quina local puedan recogerla. Utilice
+
+ <para>Ahora tendremos que guardar la llave para que los servidores en
+ la m�quina local puedan recogerla. Utilice
<command>kstash</command>:</para>
-
+
<screen>&prompt.root; <userinput>kstash</userinput>
-
+
<prompt>Enter Kerberos master key:</prompt>
Current Kerberos master key version is 1.
Master key entered. BEWARE!</screen>
-
- <para>Esto guarda la contrase�a cifrada
+
+ <para>Esto guarda la contrase�a cifrada
maestra en <filename>/etc/kerberosIV/master_key</filename>.</para>
</sect2>
-
+
<sect2>
<title>Puesta en marcha del sistema</title>
-
+
<indexterm>
<primary>KerberosIV</primary>
<secondary>encendido inicial</secondary>
</indexterm>
- <para>Tendr� que a�adir a la base de datos dos
- entradas en concreto para <emphasis>cada</emphasis> sistema
- que vaya a usar Kerberos: <literal>kpasswd</literal> y
- <literal>rcmd</literal>. Se hacen para cada sistema individualmente
- cada sistema, y el campo <quote>instance</quote> es el nombre
+ <para>Tendr� que a�adir a la base de datos dos
+ entradas en concreto para <emphasis>cada</emphasis> sistema
+ que vaya a usar Kerberos: <literal>kpasswd</literal> y
+ <literal>rcmd</literal>. Se hacen para cada sistema individualmente
+ cada sistema, y el campo <quote>instance</quote> es el nombre
individual del sistema.</para>
-
- <para>Estos d&aelig;mons <application>kpasswd</application> y
- <application>rcmd</application> permiten a otros sistemas
+
+ <para>Estos d&aelig;mons <application>kpasswd</application> y
+ <application>rcmd</application> permiten a otros sistemas
cambiar contrase�as de Kerberos y ejecutar �rdenes
como &man.rcp.1;, &man.rlogin.1; y &man.rsh.1;.</para>
-
+
<para>Ahora vamos a a�adir estas entradas:</para>
-
+
<screen>&prompt.root; <userinput>kdb_edit</userinput>
Opening database...
@@ -2157,55 +2157,55 @@ Edit O.K.
<sect2>
<title>Creaci�n del fichero del servidor</title>
-
- <para>Ahora tendremos que extraer todas las instancias que definen
- los servicios en cada m�quina; para ello usaremos
- <command>ext_srvtab</command>. Esto crear� un
- fichero que debe ser copiado o movido <emphasis>por medios
- seguros</emphasis> al directorio
- <filename>/etc/kerberosIV</filename> de cada
- cliente Kerberos. Este fichero debe existir en todos los
- servidores y clientes dada su importancia clave para el
+
+ <para>Ahora tendremos que extraer todas las instancias que definen
+ los servicios en cada m�quina; para ello usaremos
+ <command>ext_srvtab</command>. Esto crear� un
+ fichero que debe ser copiado o movido <emphasis>por medios
+ seguros</emphasis> al directorio
+ <filename>/etc/kerberosIV</filename> de cada
+ cliente Kerberos. Este fichero debe existir en todos los
+ servidores y clientes dada su importancia clave para el
funcionamiento de Kerberos.</para>
-
-
+
+
<screen>&prompt.root; <userinput>ext_srvtab grunt</userinput>
<prompt>Enter Kerberos master key:</prompt>
-
+
Current Kerberos master key version is 1.
Master key entered. BEWARE!
Generating 'grunt-new-srvtab'....</screen>
-
- <para>Esta orden solo genera un fichero temporal al que tendr�
+
+ <para>Esta orden solo genera un fichero temporal al que tendr�
que cambiar el nombre a <filename>srvtab</filename> para que todos
- los servidores puedan recogerlo. Utilice
+ los servidores puedan recogerlo. Utilice
&man.mv.1; para moverlo al lugar correcto en el sistema
original:</para>
-
+
<screen>&prompt.root; <userinput>mv grunt-new-srvtab srvtab</userinput></screen>
-
- <para>Si el fichero es para un sistema cliente y la red no puede
- considerarse segura copie el
- <filename><replaceable>cliente</replaceable>-new-srvtab</filename>
- en un medio extra�ble y transp�rtelo por medios
- f�sicos seguros. Aseg�rese de cambiar su nombre a
- <filename>srvtab</filename> en el directorio
+
+ <para>Si el fichero es para un sistema cliente y la red no puede
+ considerarse segura copie el
+ <filename><replaceable>cliente</replaceable>-new-srvtab</filename>
+ en un medio extra�ble y transp�rtelo por medios
+ f�sicos seguros. Aseg�rese de cambiar su nombre a
+ <filename>srvtab</filename> en el directorio
<filename>/etc/kerberosIV</filename> del cliente, y
aseg�rese tambi�n de que tiene modo 600:</para>
-
+
<screen>&prompt.root; <userinput>mv grumble-new-srvtab srvtab</userinput>
&prompt.root; <userinput>chmod 600 srvtab</userinput></screen>
</sect2>
-
+
<sect2>
<title>A�adir entradas a la base de datos</title>
-
- <para>Ahora tenemos que a�adir entradas de usuarios a la
+
+ <para>Ahora tenemos que a�adir entradas de usuarios a la
base de datos. Primero vamos a crear una entrada para el usuario
- <username>jane</username>. Para ello usaremos
+ <username>jane</username>. Para ello usaremos
<command>kdb_edit</command>:</para>
-
+
<screen>&prompt.root; <userinput>kdb_edit</userinput>
Opening database...
@@ -2237,15 +2237,15 @@ Edit O.K.
<sect2>
<title>Prueba del sistema</title>
-
- <para>Primero tenemos que iniciar los d&aelig;mons de Kerberos.
- Tenga en cuenta que si su <filename>/etc/rc.conf</filename>
- est� configurado correctamente el inicio tendr�
- ligar cuando reinicie el sistema. Esta prueba solo es necesaria
- en el servidor Kerberos; los clientes Kerberos tomar�n
- lo que necesiten autom�ticamente desde el directorio
+
+ <para>Primero tenemos que iniciar los d&aelig;mons de Kerberos.
+ Tenga en cuenta que si su <filename>/etc/rc.conf</filename>
+ est� configurado correctamente el inicio tendr�
+ ligar cuando reinicie el sistema. Esta prueba solo es necesaria
+ en el servidor Kerberos; los clientes Kerberos tomar�n
+ lo que necesiten autom�ticamente desde el directorio
<filename>/etc/kerberosIV</filename>.</para>
-
+
<screen>&prompt.root; <userinput>kerberos &amp;</userinput>
Kerberos server starting
Sleep forever on error
@@ -2264,31 +2264,31 @@ regular kill instead
Current Kerberos master key version is 1.
Master key entered. BEWARE!</screen>
-
- <para>Ahora podemos probar a usar <command>kinit</command>
+
+ <para>Ahora podemos probar a usar <command>kinit</command>
para obtener un ticket para el ID <username>jane</username>
que creamos antes:</para>
-
+
<screen>&prompt.user; <userinput>kinit jane</userinput>
MIT Project Athena (grunt.ejemplo.com)
Kerberos Initialization for "jane"
<prompt>Password:</prompt> </screen>
-
- <para>Pruebe a listar los tokens con <command>klist</command> para ver
+
+ <para>Pruebe a listar los tokens con <command>klist</command> para ver
si realmente est�n:</para>
-
+
<screen>&prompt.user; <userinput>klist</userinput>
Ticket file: /tmp/tkt245
Principal: jane@EJEMPLO.COM
Issued Expires Principal
Apr 30 11:23:22 Apr 30 19:23:22 krbtgt.EJEMPLO.COM@EJEMPLO.COM</screen>
-
- <para>Ahora trate de cambiar la contrase�a usando
- &man.passwd.1; para comprobar si el d&aelig;mon
- <application>kpasswd</application> est� autorizado
+
+ <para>Ahora trate de cambiar la contrase�a usando
+ &man.passwd.1; para comprobar si el d&aelig;mon
+ <application>kpasswd</application> est� autorizado
a acceder a la base de datos Kerberos:</para>
-
+
<screen>&prompt.user; <userinput>passwd</userinput>
realm EJEMPLO.COM
<prompt>Old password for jane:</prompt>
@@ -2300,17 +2300,17 @@ Password changed.</screen>
<sect2>
<title>A�adir privilegios de <command>su</command></title>
-
- <para>Kerberos nos permite dar a <emphasis>cada</emphasis>
- usuario que necesite privilegios de <username>root</username>
- su <emphasis>propia</emphasis> contrase�a para &man.su.1;.
- Podemos agregar un ID que est� autorizado a ejecutar
- &man.su.1; <username>root</username>. Esto se controla
- con una instancia de <username>root</username>
- asociada con un usuario. Vamos a crear una entrada
- <literal>jane.root</literal> en la base de datos, para lo que
+
+ <para>Kerberos nos permite dar a <emphasis>cada</emphasis>
+ usuario que necesite privilegios de <username>root</username>
+ su <emphasis>propia</emphasis> contrase�a para &man.su.1;.
+ Podemos agregar un ID que est� autorizado a ejecutar
+ &man.su.1; <username>root</username>. Esto se controla
+ con una instancia de <username>root</username>
+ asociada con un usuario. Vamos a crear una entrada
+ <literal>jane.root</literal> en la base de datos, para lo que
recurrimos a <command>kdb_edit</command>:</para>
-
+
<screen>&prompt.root; <userinput>kdb_edit</userinput>
Opening database...
@@ -2328,7 +2328,7 @@ enter return to leave the same, or new value.
&lt;Not found&gt;, Create [y] ? y
Principal: jane, Instance: root, kdc_key_ver: 1
-<prompt>New Password:</prompt> &lt;---- introduzca una contrase�a SEGURA
+<prompt>New Password:</prompt> &lt;---- introduzca una contrase�a SEGURA
Verifying password
<prompt>New Password:</prompt> &lt;---- introduzca otra vez la constrase�a
@@ -2339,28 +2339,28 @@ Principal's new key version = 1
<prompt>Attributes [ 0 ] ?</prompt>
Edit O.K.
<prompt>Principal name:</prompt> &lt;---- si introduce datos nulos saldr� del programa</screen>
-
- <para>Ahora trate de obtener los tokens para comprobar que
+
+ <para>Ahora trate de obtener los tokens para comprobar que
todo funciona:</para>
-
+
<screen>&prompt.root; <userinput>kinit jane.root</userinput>
MIT Project Athena (grunt.ejemplo.com)
Kerberos Initialization for "jane.root"
<prompt>Password:</prompt></screen>
-
- <para>Hemos de agregar al usuario al
+
+ <para>Hemos de agregar al usuario al
<filename>.klogin</filename> de <username>root</username>:</para>
-
+
<screen>&prompt.root; <userinput>cat /root/.klogin</userinput>
jane.root@EJEMPLO.COM</screen>
-
+
<para>Ahora trate de hacer &man.su.1;:</para>
-
+
<screen>&prompt.user; <userinput>su</userinput>
<prompt>Password:</prompt></screen>
-
+
<para>y eche un vistazo a qu� tokens tenemos:</para>
-
+
<screen>&prompt.root; <userinput>klist</userinput>
Ticket file: /tmp/tkt_root_245
Principal: jane.root@EJEMPLO.COM
@@ -2371,43 +2371,43 @@ May 2 20:43:12 May 3 04:43:12 krbtgt.EJEMPLO.COM@EJEMPLO.COM</screen>
<sect2>
<title>Uso de otras �rdenes</title>
-
- <para>En un ejemplo anterior creamos un usuario llamado
- <literal>jane</literal> con una instancia <literal>root</literal>.
- Nos basamos en un usuario con el mismo nombre del
- <quote>principal</quote> (<literal>jane</literal>),
+
+ <para>En un ejemplo anterior creamos un usuario llamado
+ <literal>jane</literal> con una instancia <literal>root</literal>.
+ Nos basamos en un usuario con el mismo nombre del
+ <quote>principal</quote> (<literal>jane</literal>),
el procedimiento por defecto en Kerberos:
- <literal>&lt;principal&gt;.&lt;instancia&gt;</literal> con la
- estructura
- <literal>&lt;nombre de usuario&gt;.</literal><username>root</username>
+ <literal>&lt;principal&gt;.&lt;instancia&gt;</literal> con la
+ estructura
+ <literal>&lt;nombre de usuario&gt;.</literal><username>root</username>
permitir� que <literal>&lt;nombre de usuario&gt;</literal>
- haga &man.su.1; a <username>root</username> si existen
- las entradas necesarias en el
- <filename>.klogin</filename> que hay en el directorio home de
+ haga &man.su.1; a <username>root</username> si existen
+ las entradas necesarias en el
+ <filename>.klogin</filename> que hay en el directorio home de
<username>root</username>:</para>
-
+
<screen>&prompt.root; <userinput>cat /root/.klogin</userinput>
jane.root@EJEMPLO.COM</screen>
-
- <para>De la misma manera, si un usuario tiene en su directorio home
+
+ <para>De la misma manera, si un usuario tiene en su directorio home
lo siguiente:</para>
-
+
<screen>&prompt.user; <userinput>cat ~/.klogin</userinput>
jane@EJEMPLO.COM
jack@EJEMPLO.COM</screen>
-
- <para>significa que cualquier usuario del dominio
- <literal>EJEMPLO.COM</literal> que se identifique como
- <username>jane</username> o como <username>jack</username>
- (v�a <command>kinit</command>, ver m�s arriba)
- podr� acceder a la cuenta de <username>jane</username> o
- a los ficheros de este sistema (<hostid>grunt</hostid>) v�a
- &man.rlogin.1;, &man.rsh.1; o
+
+ <para>significa que cualquier usuario del dominio
+ <literal>EJEMPLO.COM</literal> que se identifique como
+ <username>jane</username> o como <username>jack</username>
+ (v�a <command>kinit</command>, ver m�s arriba)
+ podr� acceder a la cuenta de <username>jane</username> o
+ a los ficheros de este sistema (<hostid>grunt</hostid>) v�a
+ &man.rlogin.1;, &man.rsh.1; o
&man.rcp.1;.</para>
-
- <para>Veamos por ejemplo c�mo <username>jane</username> se
+
+ <para>Veamos por ejemplo c�mo <username>jane</username> se
se identifica en otro sistema mediante Kerberos:</para>
-
+
<screen>&prompt.user; <userinput>kinit</userinput>
MIT Project Athena (grunt.ejemplo.com)
<prompt>Password:</prompt>
@@ -2417,15 +2417,15 @@ Copyright (c) 1980, 1983, 1986, 1988, 1990, 1991, 1993, 1994
The Regents of the University of California. All rights reserved.
FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
-
- <para>Aqu� <username>jack</username> se identifica con la
+
+ <para>Aqu� <username>jack</username> se identifica con la
cuenta de <username>jane</username> en la misma
- m�quina (<username>jane</username> tiene configurado
- su fichero <filename>.klogin</filename> como se ha mostrado
- antes, y la persona encargada de la administraci�n de
+ m�quina (<username>jane</username> tiene configurado
+ su fichero <filename>.klogin</filename> como se ha mostrado
+ antes, y la persona encargada de la administraci�n de
Kerberos ha configurado un usuario principal
<emphasis>jack</emphasis> con una instancia nula):</para>
-
+
<screen>&prompt.user; <userinput>kinit</userinput>
&prompt.user; <userinput>rlogin grunt -l jane</userinput>
MIT Project Athena (grunt.ejemplo.com)
@@ -2457,56 +2457,56 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
<title><application>Kerberos5</application></title>
- <para>Cada versi�n de &os; posterior a &os;-5.1 incluye
- soporte solamente para <application>Kerberos5</application>.
- Por esta raz�n <application>Kerberos5</application> es
- la �nica versi�n incluida. Su configuraci�n
- es similar en muchos aspectos a la de
- <application>KerberosIV</application>.
- La siguiente informaci�n solo ata�e a
- <application>Kerberos5</application> en versiones de
- &os;-5.0 o posteriores. Los usuarios que des�en
- utilizar <application>KerberosIV</application> pueden
- instalar el port
+ <para>Cada versi�n de &os; posterior a &os;-5.1 incluye
+ soporte solamente para <application>Kerberos5</application>.
+ Por esta raz�n <application>Kerberos5</application> es
+ la �nica versi�n incluida. Su configuraci�n
+ es similar en muchos aspectos a la de
+ <application>KerberosIV</application>.
+ La siguiente informaci�n solo ata�e a
+ <application>Kerberos5</application> en versiones de
+ &os;-5.0 o posteriores. Los usuarios que des�en
+ utilizar <application>KerberosIV</application> pueden
+ instalar el port
<filename role="package">security/krb4</filename>.</para>
- <para><application>Kerberos</application> es un sistema/protocolo
- agregado para red que permite a los usuarios validar su identidad
- a trav�s de los servicios de un servidor seguro.
+ <para><application>Kerberos</application> es un sistema/protocolo
+ agregado para red que permite a los usuarios validar su identidad
+ a trav�s de los servicios de un servidor seguro.
Los servicios como login remoto, copia remota, copias
- de fichero de un sistema a otro y otras tareas generalmente
- consideradas poco seguras pasan a ser considerablemente
+ de fichero de un sistema a otro y otras tareas generalmente
+ consideradas poco seguras pasan a ser considerablemente
seguras y m�s controlables.</para>
- <para><application>Kerberos</application> puede describirse como
- un sistema proxy identificador/verificador. Tambi�n
- puede describirse como un sistema confiable de autentificaci�n
- de terceros.
- <application>Kerberos</application> solamente ofrece una
- funci�n: la validaci�n segura de usuarios a
- trav�s de una red. No proporciona funciones de
- autorizaci�n (es decir, lo que los usuarios tienen
- permitido hacer) o funciones de auditor�a (lo que esos
- usuarios hicieron). Despu�s de que un servidor y un
- cliente han usado <application>Kerberos</application> para
- demostrar su identidad pueden tambi�n cifrar todas sus
- sus comunicaciones, asegurando de este modo su intimidad y la
+ <para><application>Kerberos</application> puede describirse como
+ un sistema proxy identificador/verificador. Tambi�n
+ puede describirse como un sistema confiable de autentificaci�n
+ de terceros.
+ <application>Kerberos</application> solamente ofrece una
+ funci�n: la validaci�n segura de usuarios a
+ trav�s de una red. No proporciona funciones de
+ autorizaci�n (es decir, lo que los usuarios tienen
+ permitido hacer) o funciones de auditor�a (lo que esos
+ usuarios hicieron). Despu�s de que un servidor y un
+ cliente han usado <application>Kerberos</application> para
+ demostrar su identidad pueden tambi�n cifrar todas sus
+ sus comunicaciones, asegurando de este modo su intimidad y la
integridad de sus datos durante su uso del sistema.</para>
- <para>Es, por tanto, altamente recomendable que se use
- <application>Kerberos</application>
- <emphasis>adem�s</emphasis> de otros m�todos de
- seguridad que ofrezcan servicios de autorizaci�n
+ <para>Es, por tanto, altamente recomendable que se use
+ <application>Kerberos</application>
+ <emphasis>adem�s</emphasis> de otros m�todos de
+ seguridad que ofrezcan servicios de autorizaci�n
y auditor�a.</para>
- <para>Puede usar las siguientes instrucciones como una gu�a
- para configurar <application>Kerberos</application> tal y como se
- distribuye en &os;. De todas maneras, deber�a consultar
- las p�ginas de manual adecuadas para tener toda la
+ <para>Puede usar las siguientes instrucciones como una gu�a
+ para configurar <application>Kerberos</application> tal y como se
+ distribuye en &os;. De todas maneras, deber�a consultar
+ las p�ginas de manual adecuadas para tener toda la
informaci�n.</para>
- <para>Vamos a mostrar una instalaci�n
- <application>Kerberos</application>, para lo cual usaremos
+ <para>Vamos a mostrar una instalaci�n
+ <application>Kerberos</application>, para lo cual usaremos
los siguientes espacios de nombres:</para>
<itemizedlist>
@@ -2522,10 +2522,10 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
</itemizedlist>
<note>
- <para>Debe utilizar nombres de dominio reales al
- configurar <application>Kerberos</application> incluso si
- pretende ejecutarlo internamente. Esto le evitar� problemas
- de <acronym>DNS</acronym> y asegura la interoperaci�n
+ <para>Debe utilizar nombres de dominio reales al
+ configurar <application>Kerberos</application> incluso si
+ pretende ejecutarlo internamente. Esto le evitar� problemas
+ de <acronym>DNS</acronym> y asegura la interoperaci�n
con otros dominios <application>Kerberos</application>.</para>
</note>
@@ -2536,46 +2536,46 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
<secondary>historia</secondary>
</indexterm>
- <para><application>Kerberos</application> fu� creado
+ <para><application>Kerberos</application> fu� creado
en el Massachusetts Institute of Technology
- (<acronym>MIT</acronym>) como una soluci�n
- a los problemas de seguridad de la red.
- El protocolo <application>Kerberos</application> utiliza
- criptograf�a fuerte para que un cliente pueda
- demostrar su identidad en un servidor (y viceversa) a
+ (<acronym>MIT</acronym>) como una soluci�n
+ a los problemas de seguridad de la red.
+ El protocolo <application>Kerberos</application> utiliza
+ criptograf�a fuerte para que un cliente pueda
+ demostrar su identidad en un servidor (y viceversa) a
trav�s de una conexi�n de red insegura.</para>
- <para><application>Kerberos</application> es el nombre de un
- protocolo de autentificaci�n v�a red y un adjetivo
+ <para><application>Kerberos</application> es el nombre de un
+ protocolo de autentificaci�n v�a red y un adjetivo
para describir programas que implementan el programa
- (<application>Kerberos</application> telnet, por ejemplo,
- conocido tambi�n como el
- <quote>telnet kerberizado</quote>).
- La versi�n actual del protocolo es la 5, descrita en
+ (<application>Kerberos</application> telnet, por ejemplo,
+ conocido tambi�n como el
+ <quote>telnet kerberizado</quote>).
+ La versi�n actual del protocolo es la 5, descrita en
<acronym>RFC</acronym>&nbsp;1510.</para>
- <para>Existen diversas implementaciones libres de este protocolo,
- cubriendo un amplio rango de sistemas operativos.
- El <acronym>MIT</acronym>, donde <application>Kerberos</application>
- fu� desarrollado, contin�a desarrollando su
- propio paquete <application>Kerberos</application>.
- Suele usarse en los EEUU como producto criptogr�fico
- y como tal ha sufrido las regulaciones de exportaci�n
- de los EEUU. El
- <application>Kerberos</application> del <acronym>MIT</acronym>
- existe como un port en
- (<filename role="package">security/krb5</filename>). Heimdal
- <application>Kerberos</application> es otra implementaci�n
- de la versi�n 5, y fu� desarrollada de forma
- intencionada fuera de los <acronym>EEUU</acronym> para sortear las
- regulaciones de exportaci�n (y por eso puede incluirse
- en versiones no comerciales de &unix;). La distribuci�n
- Heimdal <application>Kerberos</application> est� en el
- port (<filename role="package">security/heimdal</filename>), y
- se incluye una instalaci�n m�nima en el sistema
+ <para>Existen diversas implementaciones libres de este protocolo,
+ cubriendo un amplio rango de sistemas operativos.
+ El <acronym>MIT</acronym>, donde <application>Kerberos</application>
+ fu� desarrollado, contin�a desarrollando su
+ propio paquete <application>Kerberos</application>.
+ Suele usarse en los EEUU como producto criptogr�fico
+ y como tal ha sufrido las regulaciones de exportaci�n
+ de los EEUU. El
+ <application>Kerberos</application> del <acronym>MIT</acronym>
+ existe como un port en
+ (<filename role="package">security/krb5</filename>). Heimdal
+ <application>Kerberos</application> es otra implementaci�n
+ de la versi�n 5, y fu� desarrollada de forma
+ intencionada fuera de los <acronym>EEUU</acronym> para sortear las
+ regulaciones de exportaci�n (y por eso puede incluirse
+ en versiones no comerciales de &unix;). La distribuci�n
+ Heimdal <application>Kerberos</application> est� en el
+ port (<filename role="package">security/heimdal</filename>), y
+ se incluye una instalaci�n m�nima en el sistema
base de &os;.</para>
- <para>Para alcanzar la mayor audiencia estas instrucciones asumen
+ <para>Para alcanzar la mayor audiencia estas instrucciones asumen
el uso de la distribuci�n Heimdal inclu�da en &os;.</para>
</sect2>
@@ -2587,26 +2587,26 @@ FreeBSD BUILT-19950429 (GR386) #0: Sat Apr 29 17:50:09 SAT 1995</screen>
<secondary>Centro de distribuci�n de llaves</secondary>
</indexterm>
- <para>El centro de distribuci�n de llaves (<acronym>KDC</acronym>,
- Key Distribution Center) es el servicio centralizado de
- validaci�n que proporciona
- <application>Kerberos</application>: es el sistema que emite
- tickets <application>Kerberos</application>.
- El <acronym>KDC</acronym> goza del est�tus de ser
- considerado como <quote>confiable</quote> por las dem�s
- computadoras del dominio <application>Kerberos</application>,
- y por eso tiene consideraciones de seguridad m�s
+ <para>El centro de distribuci�n de llaves (<acronym>KDC</acronym>,
+ Key Distribution Center) es el servicio centralizado de
+ validaci�n que proporciona
+ <application>Kerberos</application>: es el sistema que emite
+ tickets <application>Kerberos</application>.
+ El <acronym>KDC</acronym> goza del est�tus de ser
+ considerado como <quote>confiable</quote> por las dem�s
+ computadoras del dominio <application>Kerberos</application>,
+ y por eso tiene consideraciones de seguridad m�s
elevadas.</para>
- <para>Tenga en cuenta que, aunque la ejecuci�n del servidor
- <application>Kerberos</application> requiere muy pocos recursos,
- se recomienda el uso de una m�quina dedicada a
+ <para>Tenga en cuenta que, aunque la ejecuci�n del servidor
+ <application>Kerberos</application> requiere muy pocos recursos,
+ se recomienda el uso de una m�quina dedicada a
<acronym>KDC</acronym> por razones de seguridad.</para>
-
- <para>Para empezar a configurar un <acronym>KDC</acronym> aseg�rese
- de que su <filename>/etc/rc.conf</filename> contenga la
- configuraci�n adecuada para actuar como <acronym>KDC</acronym>
- (tal vez deba ajustar algunas rutas para que cuadren con su
+
+ <para>Para empezar a configurar un <acronym>KDC</acronym> aseg�rese
+ de que su <filename>/etc/rc.conf</filename> contenga la
+ configuraci�n adecuada para actuar como <acronym>KDC</acronym>
+ (tal vez deba ajustar algunas rutas para que cuadren con su
sistema):</para>
<programlisting>kerberos5_server_enable="YES"
@@ -2614,11 +2614,11 @@ kadmind5_server_enable="YES"
kerberos_stash="YES"</programlisting>
<note>
- <para><option>kerberos_stash</option> solo existe en
+ <para><option>kerberos_stash</option> solo existe en
&os;&nbsp;4.X.</para>
</note>
- <para>A continuaci�n configuraremos el fichero de
+ <para>A continuaci�n configuraremos el fichero de
configuraci�n de <application>Kerberos</application>,
<filename>/etc/krb5.conf</filename>:</para>
@@ -2631,23 +2631,23 @@ kerberos_stash="YES"</programlisting>
[domain_realm]
.ejemplo.org = EJEMPLO.ORG</programlisting>
- <para>Tenga en cuenta que este <filename>/etc/krb5.conf</filename>
+ <para>Tenga en cuenta que este <filename>/etc/krb5.conf</filename>
implica que su <acronym>KDC</acronym> tendr� el nombre
- de equipo completo calificado de
- <hostid role="fqdn">kerberos.ejemplo.org</hostid>.
- Necesitar� a�adir una entrada CNAME (alias) a su
- fichero de zona si su <acronym>KDC</acronym> tiene un
+ de equipo completo calificado de
+ <hostid role="fqdn">kerberos.ejemplo.org</hostid>.
+ Necesitar� a�adir una entrada CNAME (alias) a su
+ fichero de zona si su <acronym>KDC</acronym> tiene un
nombre de equipo diferente.</para>
<note>
- <para>En grandes redes con un servidor <acronym>DNS</acronym>
- <acronym>BIND</acronym> bien configurado, el ejemplo
+ <para>En grandes redes con un servidor <acronym>DNS</acronym>
+ <acronym>BIND</acronym> bien configurado, el ejemplo
de arriba puede quedar del siguiente modo:</para>
<programlisting>[libdefaults]
default_realm = EJEMPLO.ORG</programlisting>
- <para>Con las siguientes l�neas agregadas al
+ <para>Con las siguientes l�neas agregadas al
fichero de zona <hostid role="fqdn">ejemplo.org</hostid>:</para>
<programlisting>_kerberos._udp IN SRV 01 00 88 kerberos.ejemplo.org.
@@ -2657,46 +2657,46 @@ _kerberos-adm._tcp IN SRV 01 00 749 kerberos.ejemplo.org.
_kerberos IN TXT EJEMPLO.ORG</programlisting></note>
<note>
- <para>Para que los clientes sean capaces de encontrar los
- servicios <application>Kerberos</application>
- <emphasis>debe</emphasis> tener ya sea un
- <filename>/etc/krb5.conf</filename> configurado o
- un <filename>/etc/krb5.conf</filename> configurado de forma
- m�nima <emphasis>y</emphasis> un servidor DNS
+ <para>Para que los clientes sean capaces de encontrar los
+ servicios <application>Kerberos</application>
+ <emphasis>debe</emphasis> tener ya sea un
+ <filename>/etc/krb5.conf</filename> configurado o
+ un <filename>/etc/krb5.conf</filename> configurado de forma
+ m�nima <emphasis>y</emphasis> un servidor DNS
configurado correctamente.</para>
</note>
- <para>A continuaci�n crearemos la base de datos
- <application>Kerberos</application>. Esta base de datos contiene
- las llaves de todos los principales cifradas con una
- contrase�a maestra. No es necesario que recuerde
- esta contrase�a, pues se almacenar� en
- <filename>/var/heimdal/m-key</filename>. Para crear la llave
- maestra ejecute <command>kstash</command> e introduzca una
+ <para>A continuaci�n crearemos la base de datos
+ <application>Kerberos</application>. Esta base de datos contiene
+ las llaves de todos los principales cifradas con una
+ contrase�a maestra. No es necesario que recuerde
+ esta contrase�a, pues se almacenar� en
+ <filename>/var/heimdal/m-key</filename>. Para crear la llave
+ maestra ejecute <command>kstash</command> e introduzca una
contrase�a.</para>
- <para>Una vez que se ha creado la llave maestra puede inicializar
- la base de datos usando el programa <command>kadmin</command>
- con la opci�n <literal>-l</literal> (que significa
- <quote>local</quote>). Esta opci�n le dice a
- <command>kadmin</command> que modifique los ficheros de la base
- de datos directamente en lugar de ir a trav�s del servicio
- de red <command>kadmind</command>. Esto gestiona el problema del
- huevo y la gallina de tratar de conectar a la base de datos
- antes de que �sta exista. Una vez que tiene el
- <quote>prompt</quote> de <command>kadmin</command>, utilice
- <command>init</command> para crear su base de datos de
+ <para>Una vez que se ha creado la llave maestra puede inicializar
+ la base de datos usando el programa <command>kadmin</command>
+ con la opci�n <literal>-l</literal> (que significa
+ <quote>local</quote>). Esta opci�n le dice a
+ <command>kadmin</command> que modifique los ficheros de la base
+ de datos directamente en lugar de ir a trav�s del servicio
+ de red <command>kadmind</command>. Esto gestiona el problema del
+ huevo y la gallina de tratar de conectar a la base de datos
+ antes de que �sta exista. Una vez que tiene el
+ <quote>prompt</quote> de <command>kadmin</command>, utilice
+ <command>init</command> para crear su base de datos de
dominios iniciales.</para>
- <para>Para terminar, mientras est� todav�a en
- <command>kadmin</command> puede crear su primer principal
- mediante <command>add</command>. Utilice las opciones por
- defecto por ahora, m�s tarde puede cambiarlas mediante
- <command>modify</command>. Recuerde que puede usar
- <literal>?</literal> en cualquier <quote>prompt</quote> para
+ <para>Para terminar, mientras est� todav�a en
+ <command>kadmin</command> puede crear su primer principal
+ mediante <command>add</command>. Utilice las opciones por
+ defecto por ahora, m�s tarde puede cambiarlas mediante
+ <command>modify</command>. Recuerde que puede usar
+ <literal>?</literal> en cualquier <quote>prompt</quote> para
consultar las opciones disponibles.</para>
- <para>Veamos un ejemplo de sesi�n de creaci�n de una
+ <para>Veamos un ejemplo de sesi�n de creaci�n de una
base de datos:</para>
<screen>&prompt.root; <userinput>kstash</userinput>
@@ -2713,14 +2713,14 @@ Attributes []:
Password: <userinput>xxxxxxxx</userinput>
Verifying password - Password: <userinput>xxxxxxxx</userinput></screen>
- <para>Ahora puede arrancar los servicios <acronym>KDC</acronym>.
- Ejecute <command>/etc/rc.d/kerberos start</command> y
- <command>/etc/rc.d/kadmind start</command> para levantar dichos
- servicios. Recuerde que no tendr� ning�n
- d&aelig;mon kerberizado ejecut�ndose pero debe
- poder confirmar que <acronym>KDC</acronym> funciona por el
- procedimiento de obtener y listar un boleto del principal
- (usuario) que acaba de crear en la l�nea de �rdenes de
+ <para>Ahora puede arrancar los servicios <acronym>KDC</acronym>.
+ Ejecute <command>/etc/rc.d/kerberos start</command> y
+ <command>/etc/rc.d/kadmind start</command> para levantar dichos
+ servicios. Recuerde que no tendr� ning�n
+ d&aelig;mon kerberizado ejecut�ndose pero debe
+ poder confirmar que <acronym>KDC</acronym> funciona por el
+ procedimiento de obtener y listar un boleto del principal
+ (usuario) que acaba de crear en la l�nea de �rdenes de
<acronym>KDC</acronym>:</para>
<screen>&prompt.user; <userinput>k5init <replaceable>tillman</replaceable></userinput>
@@ -2736,8 +2736,8 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EJEMPLO.ORG@EJEMPLO.ORG</screen>
</sect2>
<sect2>
- <title>Creaci�n de un servidor
- <application>Kerberos</application> con servicios
+ <title>Creaci�n de un servidor
+ <application>Kerberos</application> con servicios
Heimdal</title>
<indexterm>
@@ -2745,56 +2745,56 @@ Aug 27 15:37:58 Aug 28 01:37:58 krbtgt/EJEMPLO.ORG@EJEMPLO.ORG</screen>
<secondary>habilitaci�n de servicios</secondary>
</indexterm>
- <para>Antes de nada necesitaremos una copia del fichero de
- configuraci�n de <application>Kerberos</application>,
- <filename>/etc/krb5.conf</filename>. C�pielo al cliente
- desde <acronym>KDC</acronym> de forma segura (mediante
+ <para>Antes de nada necesitaremos una copia del fichero de
+ configuraci�n de <application>Kerberos</application>,
+ <filename>/etc/krb5.conf</filename>. C�pielo al cliente
+ desde <acronym>KDC</acronym> de forma segura (mediante
&man.scp.1;, o usando un disquete).</para>
- <para>A continuaci�n necesitar� un fichero
- <filename>/etc/krb5.keytab</filename>.
- Esta es la mayor diferencia entre un servidor que proporciona
- d&aelig;mons habilitados con <application>Kerberos</application>
- y una estaci�n de trabajo: el servidor debe
- tener un fichero <filename>keytab</filename>. Dicho fichero
- contiene las llaves de equipo del servidor, las cuales
- le permiten a �l y al <acronym>KDC</acronym>
- verificar la identidad entre ellos. Deben transmitirse
- al servidor de forma segura ya que la seguridad del servidor
- puede verse comprometida si la llave se hace p�blica.
- Por decirlo m�s claro, transferirla como texto plano a
- trav�s de la red (por ejemplo por
- <acronym>FTP</acronym>) es una <emphasis>p�sima
+ <para>A continuaci�n necesitar� un fichero
+ <filename>/etc/krb5.keytab</filename>.
+ Esta es la mayor diferencia entre un servidor que proporciona
+ d&aelig;mons habilitados con <application>Kerberos</application>
+ y una estaci�n de trabajo: el servidor debe
+ tener un fichero <filename>keytab</filename>. Dicho fichero
+ contiene las llaves de equipo del servidor, las cuales
+ le permiten a �l y al <acronym>KDC</acronym>
+ verificar la identidad entre ellos. Deben transmitirse
+ al servidor de forma segura ya que la seguridad del servidor
+ puede verse comprometida si la llave se hace p�blica.
+ Por decirlo m�s claro, transferirla como texto plano a
+ trav�s de la red (por ejemplo por
+ <acronym>FTP</acronym>) es una <emphasis>p�sima
idea</emphasis>.</para>
- <para>Lo normal es que transmita su <filename>keytab</filename>
- al servidor mediante el programa <command>kadmin</command>.
- Esto es pr�ctico porque tambi�n debe crear
+ <para>Lo normal es que transmita su <filename>keytab</filename>
+ al servidor mediante el programa <command>kadmin</command>.
+ Esto es pr�ctico porque tambi�n debe crear
el principal del equipo (el <acronym>KDC</acronym> que aparece
- al final de <filename>krb5.keytab</filename>)
+ al final de <filename>krb5.keytab</filename>)
usando <command>kadmin</command>.</para>
- <para>Tenga en cuenta que ya debe disponer de un ticket, y que
- este ticket debe poder usar el interfaz
- <command>kadmin</command> en <filename>kadmind.acl</filename>.
- Consulte la secci�n
- <quote>administraci�n remota</quote> en la p�gina
- info de Heimdal (<command>info heimdal</command>), donde se
- exponen los detalles de dise�o de las listas de control de
- acceso. Si no quiere habilitar acceso remoto
- <command>kadmin</command>, puede conectarse de forma segura al
- <acronym>KDC</acronym> (por medio de consola
- local, &man.ssh.1; o &man.telnet.1;
- <application>Kerberos</application>) y administrar en local
+ <para>Tenga en cuenta que ya debe disponer de un ticket, y que
+ este ticket debe poder usar el interfaz
+ <command>kadmin</command> en <filename>kadmind.acl</filename>.
+ Consulte la secci�n
+ <quote>administraci�n remota</quote> en la p�gina
+ info de Heimdal (<command>info heimdal</command>), donde se
+ exponen los detalles de dise�o de las listas de control de
+ acceso. Si no quiere habilitar acceso remoto
+ <command>kadmin</command>, puede conectarse de forma segura al
+ <acronym>KDC</acronym> (por medio de consola
+ local, &man.ssh.1; o &man.telnet.1;
+ <application>Kerberos</application>) y administrar en local
mediante <command>kadmin -l</command>.</para>
- <para>Despu�s de instalar el fichero
- <filename>/etc/krb5.conf</filename> puede usar
- <command>kadmin</command> desde el servidor
- <application>Kerberos</application>.
- <command>add --random-key</command> le permitir�
- a�adir el principal del equipo servidor, y
- <command>ext</command> le permitir� extraer el principal
+ <para>Despu�s de instalar el fichero
+ <filename>/etc/krb5.conf</filename> puede usar
+ <command>kadmin</command> desde el servidor
+ <application>Kerberos</application>.
+ <command>add --random-key</command> le permitir�
+ a�adir el principal del equipo servidor, y
+ <command>ext</command> le permitir� extraer el principal
del equipo servidor a su propio keybat. Por ejemplo:</para>
<screen>&prompt.root; <userinput>kadmin</userinput>
@@ -2805,55 +2805,55 @@ Attributes []:
kadmin><userinput> ext host/miservidor.ejemplo.org</userinput>
kadmin><userinput> exit</userinput></screen>
- <para>Tenga en cuenta que <command>ext</command>
- (contracci�n de <quote>extract</quote>) almacena la
- llave extra�da por defecto en
+ <para>Tenga en cuenta que <command>ext</command>
+ (contracci�n de <quote>extract</quote>) almacena la
+ llave extra�da por defecto en
en <filename>/etc/krb5.keytab</filename>.</para>
- <para>Si no tiene <command>kadmind</command>
- ejecut�ndose en
- <acronym>KDC</acronym> (posiblemente por razones de seguridad)
- y por lo tanto carece de acceso remoto a <command>kadmin</command>
- puede a�adir el principal de equipo
- (<username>host/miservidor.EJEMPLO.ORG</username>) directamente
- en el <acronym>KDC</acronym> y entonces extraerlo a un fichero
- temporal (para evitar sobreescribir
- <filename>/etc/krb5.keytab</filename> en el
+ <para>Si no tiene <command>kadmind</command>
+ ejecut�ndose en
+ <acronym>KDC</acronym> (posiblemente por razones de seguridad)
+ y por lo tanto carece de acceso remoto a <command>kadmin</command>
+ puede a�adir el principal de equipo
+ (<username>host/miservidor.EJEMPLO.ORG</username>) directamente
+ en el <acronym>KDC</acronym> y entonces extraerlo a un fichero
+ temporal (para evitar sobreescribir
+ <filename>/etc/krb5.keytab</filename> en el
<acronym>KDC</acronym>) mediante algo parecido a esto:</para>
<screen>&prompt.root; <userinput>kadmin</userinput>
kadmin><userinput> ext --keytab=/tmp/ejemplo.keytab host/miservidor.ejemplo.org</userinput>
kadmin><userinput> exit</userinput></screen>
- <para>Puede entonces copiar de forma segura el keytab al
- servidor (usando <command>scp</command> o un diquete).
- Aseg�rese de usar un nombre de keytab diferente
- para evitar sobreescribir el keytab en el
+ <para>Puede entonces copiar de forma segura el keytab al
+ servidor (usando <command>scp</command> o un diquete).
+ Aseg�rese de usar un nombre de keytab diferente
+ para evitar sobreescribir el keytab en el
<acronym>KDC</acronym>.</para>
- <para>Su servidor puede comunicarse con el
- <acronym>KDC</acronym> (gracias a su fichero
- <filename>krb5.conf</filename>) y puede probar su propia
- identidad (gracias al fichero <filename>krb5.keytab</filename>).
- Ahora est� listo para que usted habilite algunos
- servicios <application>Kerberos</application>.
- En este ejemplo habilitaremos el servicio <command>telnet</command>
- poniendo una l�nea como esta en su
- <filename>/etc/inetd.conf</filename> y reiniciando el
- servicio &man.inetd.8; con
- <command>/etc/rc.d/inetd restart</command>:</para>
+ <para>Su servidor puede comunicarse con el
+ <acronym>KDC</acronym> (gracias a su fichero
+ <filename>krb5.conf</filename>) y puede probar su propia
+ identidad (gracias al fichero <filename>krb5.keytab</filename>).
+ Ahora est� listo para que usted habilite algunos
+ servicios <application>Kerberos</application>.
+ En este ejemplo habilitaremos el servicio <command>telnet</command>
+ poniendo una l�nea como esta en su
+ <filename>/etc/inetd.conf</filename> y reiniciando el
+ servicio &man.inetd.8; con
+ <command>/etc/rc.d/inetd restart</command>:</para>
<programlisting>telnet stream tcp nowait root /usr/libexec/telnetd telnetd -a user</programlisting>
- <para>La parte cr�tica es <command>-a</command>,
- de autentificaci�n de usuario. Consulte
- la p�gina de manual &man.telnetd.8; para
- m�s informaci�n.</para>
+ <para>La parte cr�tica es <command>-a</command>,
+ de autentificaci�n de usuario. Consulte
+ la p�gina de manual &man.telnetd.8; para
+ m�s informaci�n.</para>
</sect2>
<sect2>
- <title><application>Kerberos</application> con un cliente
+ <title><application>Kerberos</application> con un cliente
Heimdal</title>
<indexterm>
@@ -2861,60 +2861,60 @@ kadmin><userinput> exit</userinput></screen>
<secondary>configurar clientes</secondary>
</indexterm>
- <para>Configurar una computadora cliente es extremadamente
- f�cil. Lo �nico que necesita es el
- fichero de configuraci�n de
- <application>Kerberos</application> que encontrar�
- en <filename>/etc/krb5.conf</filename>.
- Simplemente c�pielo de forma segura a la computadora
+ <para>Configurar una computadora cliente es extremadamente
+ f�cil. Lo �nico que necesita es el
+ fichero de configuraci�n de
+ <application>Kerberos</application> que encontrar�
+ en <filename>/etc/krb5.conf</filename>.
+ Simplemente c�pielo de forma segura a la computadora
cliente desde el <acronym>KDC</acronym>.</para>
- <para>Pruebe su computadora cliente mediante
- <command>kinit</command>, <command>klist</command>, y
- <command>kdestroy</command> desde el cliente para obtener,
- mostrar y luego borrar un ticket para el principal que
- cre� antes. Deber�a poder usar aplicaciones
- <application>Kerberos</application> para conectarse a
- servidores habilitados con <application>Kerberos</application>,
- aunque si no funciona y tiene problemas al intentar obtener
- el boleto lo m�s probable es que el problema
- est� en el servidor y no en el cliente o el
+ <para>Pruebe su computadora cliente mediante
+ <command>kinit</command>, <command>klist</command>, y
+ <command>kdestroy</command> desde el cliente para obtener,
+ mostrar y luego borrar un ticket para el principal que
+ cre� antes. Deber�a poder usar aplicaciones
+ <application>Kerberos</application> para conectarse a
+ servidores habilitados con <application>Kerberos</application>,
+ aunque si no funciona y tiene problemas al intentar obtener
+ el boleto lo m�s probable es que el problema
+ est� en el servidor y no en el cliente o el
<acronym>KDC</acronym>.</para>
- <para>Al probar una aplicaci�n como <command>telnet</command>,
- trate de usar un <quote>sniffer</quote> de paquetes
- ( como &man.tcpdump.1;) para confirmar que su contrase�a
- no viaja en claro por la red.
- Trate de usar <command>telnet</command> con la opci�n
- <literal>-x</literal>, que cifra el flujo de datos por
- entero (algo parecido a lo que hace
+ <para>Al probar una aplicaci�n como <command>telnet</command>,
+ trate de usar un <quote>sniffer</quote> de paquetes
+ ( como &man.tcpdump.1;) para confirmar que su contrase�a
+ no viaja en claro por la red.
+ Trate de usar <command>telnet</command> con la opci�n
+ <literal>-x</literal>, que cifra el flujo de datos por
+ entero (algo parecido a lo que hace
<command>ssh</command>).</para>
- <para>Las aplicaciones clientes <application>Kerberos</application>
- principales (llamadas tradicionalmente <command>kinit</command>,
- <command>klist</command>, <command>kdestroy</command> y
- <command>kpasswd</command>) est�n incluidas en
- la instalaci�n base de &os;. Tenga en cuenta que
- en las versiones de &os; anteriores a 5.0 reciben los nombres de
- <command>k5init</command>,
- <command>k5list</command>, <command>k5destroy</command>,
+ <para>Las aplicaciones clientes <application>Kerberos</application>
+ principales (llamadas tradicionalmente <command>kinit</command>,
+ <command>klist</command>, <command>kdestroy</command> y
+ <command>kpasswd</command>) est�n incluidas en
+ la instalaci�n base de &os;. Tenga en cuenta que
+ en las versiones de &os; anteriores a 5.0 reciben los nombres de
+ <command>k5init</command>,
+ <command>k5list</command>, <command>k5destroy</command>,
<command>k5passwd</command> y <command>k5stash</command>.</para>
- <para>Tambi�n se instalan por defecto diversas aplicaciones
- <application>Kerberos</application> que no entran dentro de
- la categor�a de <quote>imprescindibles</quote>.
- Es aqu� donde la naturaleza
+ <para>Tambi�n se instalan por defecto diversas aplicaciones
+ <application>Kerberos</application> que no entran dentro de
+ la categor�a de <quote>imprescindibles</quote>.
+ Es aqu� donde la naturaleza
<quote>m�nima</quote> de la instalaci�n base de
- Heimdal salta a la palestra: <command>telnet</command> es el
- �nico servicio <application>Kerberos</application>
+ Heimdal salta a la palestra: <command>telnet</command> es el
+ �nico servicio <application>Kerberos</application>
habilitado.</para>
- <para>El port Heimdal a�ade algunas de las aplicaciones
- cliente que faltan: versiones <application>Kerberos</application>
- de <command>ftp</command>, <command>rsh</command>,
- <command>rcp</command>, <command>rlogin</command> y algunos
- otros programas menos comunes. El port del <acronym>MIT</acronym>
- tambi�n contiene una suite completa de aplicaciones
+ <para>El port Heimdal a�ade algunas de las aplicaciones
+ cliente que faltan: versiones <application>Kerberos</application>
+ de <command>ftp</command>, <command>rsh</command>,
+ <command>rcp</command>, <command>rlogin</command> y algunos
+ otros programas menos comunes. El port del <acronym>MIT</acronym>
+ tambi�n contiene una suite completa de aplicaciones
cliente de <application>Kerberos</application>.</para>
</sect2>
@@ -2930,51 +2930,51 @@ kadmin><userinput> exit</userinput></screen>
<primary><filename>.k5users</filename></primary>
</indexterm>
- <para>Suele ser habitual que los usuarios de un dominio
- <application>Kerberos</application> (o <quote>principales</quote>)
- tengan su usuario
- (por ejemplo <username>tillman@EJEMPLO.ORG</username>) mapeado
- a una cuenta de usuario local (por ejemplo un usuario llamado
- llamado <username>tillman</username>). Las aplicaciones cliente
+ <para>Suele ser habitual que los usuarios de un dominio
+ <application>Kerberos</application> (o <quote>principales</quote>)
+ tengan su usuario
+ (por ejemplo <username>tillman@EJEMPLO.ORG</username>) mapeado
+ a una cuenta de usuario local (por ejemplo un usuario llamado
+ llamado <username>tillman</username>). Las aplicaciones cliente
como <command>telnet</command> normalmente no requieren un
nombre de usuario o un principal.</para>
- <para>Es posible que de vez en cuando quiera dar acceso a una
- una cuenta de usuario local a alguien que no tiene un
- principal <application>Kerberos</application>.
- Por ejemplo, <username>tillman@EJEMPLO.ORG</username> puede
- necesitar acceso a la cuenta de usuario local
- <username>webdevelopers</username>.
- Otros principales tal vez necesiten acceso a esas
+ <para>Es posible que de vez en cuando quiera dar acceso a una
+ una cuenta de usuario local a alguien que no tiene un
+ principal <application>Kerberos</application>.
+ Por ejemplo, <username>tillman@EJEMPLO.ORG</username> puede
+ necesitar acceso a la cuenta de usuario local
+ <username>webdevelopers</username>.
+ Otros principales tal vez necesiten acceso a esas
cuentas locales.</para>
- <para>Los ficheros <filename>.k5login</filename> y
+ <para>Los ficheros <filename>.k5login</filename> y
<filename>.k5users</filename>, ubicados en el directorio
- home del usuario, pueden usarse de un modo similar a
- una combinaci�n potente de
- <filename>.hosts</filename> y <filename>.rhosts</filename>.
- Por ejemplo, si pusiera un fichero
+ home del usuario, pueden usarse de un modo similar a
+ una combinaci�n potente de
+ <filename>.hosts</filename> y <filename>.rhosts</filename>.
+ Por ejemplo, si pusiera un fichero
<filename>.k5login</filename> con el siguiente
contenido</para>
<screen>tillman@example.org
jdoe@example.org</screen>
- <para>en el directorio home del usuario local
- <username>webdevelopers</username> ambos
- principales listados tendr�an acceso a esa cuenta
+ <para>en el directorio home del usuario local
+ <username>webdevelopers</username> ambos
+ principales listados tendr�an acceso a esa cuenta
sin requerir una contrase�a compartida.</para>
- <para>Le recomendamos encarecidamente la lectura de las
- p�ginas de manual de estas �rdenes. Recuerde que
- la p�gina de manual de
- <command>ksu</command> abarca
+ <para>Le recomendamos encarecidamente la lectura de las
+ p�ginas de manual de estas �rdenes. Recuerde que
+ la p�gina de manual de
+ <command>ksu</command> abarca
<filename>.k5users</filename>.</para>
</sect2>
<sect2>
- <title><application>Kerberos</application> Sugerencias, trucos y
+ <title><application>Kerberos</application> Sugerencias, trucos y
soluci�n de problemas</title>
<indexterm>
@@ -2984,17 +2984,17 @@ jdoe@example.org</screen>
<itemizedlist>
<listitem>
- <para>Tanto si utiliza el port de Heimdal o
- el <application>Kerberos</application>
- del <acronym>MIT</acronym> aseg�rese de que su
- variable de entorno <envar>PATH</envar> liste las
- versiones de <application>Kerberos</application> de las
- aplicaciones cliente antes que las versiones del
+ <para>Tanto si utiliza el port de Heimdal o
+ el <application>Kerberos</application>
+ del <acronym>MIT</acronym> aseg�rese de que su
+ variable de entorno <envar>PATH</envar> liste las
+ versiones de <application>Kerberos</application> de las
+ aplicaciones cliente antes que las versiones del
sistema.</para>
</listitem>
<listitem>
- <para>?Todas las computadoras de su dominio Kerberos
+ <para>?Todas las computadoras de su dominio Kerberos
tienen la hora sincronizada? Si no, la autentificaci�n
puede fallar.
<xref linkend="network-ntp"/> describe como sincronizar
@@ -3002,122 +3002,122 @@ jdoe@example.org</screen>
</listitem>
<listitem>
- <para><acronym>MIT</acronym> y Heimdal conviven bien, con la
- excepci�n de <command>kadmin</command>, protocolo
+ <para><acronym>MIT</acronym> y Heimdal conviven bien, con la
+ excepci�n de <command>kadmin</command>, protocolo
no est� estandarizado.</para>
</listitem>
<listitem>
- <para>Si cambia su nombre de equipo debe cambiar tambi�n
- el <quote>apellido</quote> de su principal y actualizar su
- keytab. Esto tambi�n se aplica a entradas especiales
- en keytab como el principal <username>www/</username>
- que usa el <filename role="package">www/mod_auth_kerb</filename>
+ <para>Si cambia su nombre de equipo debe cambiar tambi�n
+ el <quote>apellido</quote> de su principal y actualizar su
+ keytab. Esto tambi�n se aplica a entradas especiales
+ en keytab como el principal <username>www/</username>
+ que usa el <filename role="package">www/mod_auth_kerb</filename>
de Apache.</para>
</listitem>
<listitem>
- <para>Todos los equipos en su dominio Kerberos deben poder
- resolverse (tanto en la forma normal normal como en la
- inversa) en el <acronym>DNS</acronym> (o en
- <filename>/etc/hosts</filename> como m�nimo).
- Los CNAME funcionar�n, pero los registros A y PTR
- deben ser correctos y estar en su sitio. El mensaje de error
- que recibir� de no hacerlo as� no es muy
- intuitivo:
+ <para>Todos los equipos en su dominio Kerberos deben poder
+ resolverse (tanto en la forma normal normal como en la
+ inversa) en el <acronym>DNS</acronym> (o en
+ <filename>/etc/hosts</filename> como m�nimo).
+ Los CNAME funcionar�n, pero los registros A y PTR
+ deben ser correctos y estar en su sitio. El mensaje de error
+ que recibir� de no hacerlo as� no es muy
+ intuitivo:
<errorname>Kerberos5 refuses authentication because Read req
failed: Key table entry not found</errorname>.</para>
</listitem>
<listitem>
- <para>Algunos sistemas operativos que puede usar como clientes
- de su <acronym>KDC</acronym> no activan
- los permisos para <command>ksu</command> como
- setuid <username>root</username>. Esto har� que
- <command>ksu</command> no funcione, lo cual es muy seguro
- pero un tanto molesto. Tenga en cuenta que no se debe a
+ <para>Algunos sistemas operativos que puede usar como clientes
+ de su <acronym>KDC</acronym> no activan
+ los permisos para <command>ksu</command> como
+ setuid <username>root</username>. Esto har� que
+ <command>ksu</command> no funcione, lo cual es muy seguro
+ pero un tanto molesto. Tenga en cuenta que no se debe a
un error de <acronym>KDC</acronym>.</para>
</listitem>
<listitem>
- <para>Si desea permitir que un principal tenga un ticket con
- una validez m�s larga que el valor por defecto de diez
+ <para>Si desea permitir que un principal tenga un ticket con
+ una validez m�s larga que el valor por defecto de diez
horas en <application>Kerberos</application> del
- <acronym>MIT</acronym> debe usar
- <command>modify_principal</command> en <command>kadmin</command>
- para cambiar <quote>maxlife</quote> tanto del principal en
- cuesti�n como del <username>krbtgt</username> del
- principal. Hecho esto,
+ <acronym>MIT</acronym> debe usar
+ <command>modify_principal</command> en <command>kadmin</command>
+ para cambiar <quote>maxlife</quote> tanto del principal en
+ cuesti�n como del <username>krbtgt</username> del
+ principal. Hecho esto,
el principal puede utilizar la opci�n
<literal>-l</literal> con <command>kinit</command> para
solicitar un boleto con m�s tiempo de vida.</para>
</listitem>
<listitem>
- <note><para>Si ejecuta un <quote>sniffer</quote> de paquetes en su
- <acronym>KDC</acronym> para ayudar con la resoluci�n
- de problemas y ejecuta <command>kinit</command> desde una
- estaci�n de trabajo puede encontrarse con que su
- <acronym>TGT</acronym> se env�a inmediatamente
- despu�s de ejecutar <command>kinit</command>:
- <emphasis>incluso antes de que escriba su
- contrase�a</emphasis> La explicaci�n es que el
- servidor <application>Kerberos</application> transmite
+ <note><para>Si ejecuta un <quote>sniffer</quote> de paquetes en su
+ <acronym>KDC</acronym> para ayudar con la resoluci�n
+ de problemas y ejecuta <command>kinit</command> desde una
+ estaci�n de trabajo puede encontrarse con que su
+ <acronym>TGT</acronym> se env�a inmediatamente
+ despu�s de ejecutar <command>kinit</command>:
+ <emphasis>incluso antes de que escriba su
+ contrase�a</emphasis> La explicaci�n es que el
+ servidor <application>Kerberos</application> transmite
tranquilamente un <acronym>TGT</acronym> (Ticket Granting
- Ticket) a cualquier petici�n no autorizada; de todas
- maneras, cada <acronym>TGT</acronym> est� cifrado
- en una llave derivada de la contrase�a del usuario.
- Por tanto, cuando un usuario teclea su contrase�a
- no la est� enviando al <acronym>KDC</acronym>,
+ Ticket) a cualquier petici�n no autorizada; de todas
+ maneras, cada <acronym>TGT</acronym> est� cifrado
+ en una llave derivada de la contrase�a del usuario.
+ Por tanto, cuando un usuario teclea su contrase�a
+ no la est� enviando al <acronym>KDC</acronym>,
se est� usando para descifrar el <acronym>TGT</acronym>
- que <command>kinit</command> ya obtuvo. Si el proceso de
- descifrado termina en un ticket v�lido con
- una marca de tiempo v�lida, el usuario tiene
- credenciales <application>Kerberos</application> v�lidas.
- Estas credenciales incluyen una llave de sesi�n para
- establecer comunicaciones seguras con el servidor
- <application>Kerberos</application> en el futuro, as�
- como el TGT en s�, que se cifra con la llave del propio
- servidor <application>Kerberos</application>.
- Esta segunda capa de cifrado es invisible para el usuario, pero
+ que <command>kinit</command> ya obtuvo. Si el proceso de
+ descifrado termina en un ticket v�lido con
+ una marca de tiempo v�lida, el usuario tiene
+ credenciales <application>Kerberos</application> v�lidas.
+ Estas credenciales incluyen una llave de sesi�n para
+ establecer comunicaciones seguras con el servidor
+ <application>Kerberos</application> en el futuro, as�
+ como el TGT en s�, que se cifra con la llave del propio
+ servidor <application>Kerberos</application>.
+ Esta segunda capa de cifrado es invisible para el usuario, pero
es lo que permite al servidor <application>Kerberos</application>
- verificar la autenticidad de cada
+ verificar la autenticidad de cada
<acronym>TGT</acronym>.</para></note>
</listitem>
<listitem>
- <para>Si desea utilizar tickets con un tiempo largo de vida (una
- semana, por ejemplo) y est� utilizando
+ <para>Si desea utilizar tickets con un tiempo largo de vida (una
+ semana, por ejemplo) y est� utilizando
<application>OpenSSH</application>
- para conectarse a la m�quina donde se almacena su
- boleto asg�rese de que
- <application>Kerberos</application>
- <option>TicketCleanup</option> est� configurado a
+ para conectarse a la m�quina donde se almacena su
+ boleto asg�rese de que
+ <application>Kerberos</application>
+ <option>TicketCleanup</option> est� configurado a
<literal>no</literal> en su <filename>sshd_config</filename>
- o de lo contrario sus tickets ser�n eliminados cuando
+ o de lo contrario sus tickets ser�n eliminados cuando
termine la sesi�n.</para>
</listitem>
<listitem>
- <para>Recuerde que los principales de equipos tambi�n
- pueden tener tener un tiempo de vida m�s largo.
- Si su principal de usuario tiene un tiempo de vida de una
- semana pero el equipo al que se conecta tiene un
- tiempo de vida de nueve horas, tendr� un principal de
- equipo expirado en su cach�, y la cach� de
+ <para>Recuerde que los principales de equipos tambi�n
+ pueden tener tener un tiempo de vida m�s largo.
+ Si su principal de usuario tiene un tiempo de vida de una
+ semana pero el equipo al que se conecta tiene un
+ tiempo de vida de nueve horas, tendr� un principal de
+ equipo expirado en su cach�, y la cach� de
ticket no funcionar� como esperaba.</para>
</listitem>
<listitem>
- <para>Cuando est� configurando un fichero
- <filename>krb5.dict</filename> pensando espec�ficamente
- en prevenir el uso de contrase�as defectuosas (la
- p�gina de manual de
- de <command>kadmind</command> trata el tema brevemente), recuerde
- que solamente se aplica a principales que tienen una
- pol�tica de contrase�as asignada. El formato
- de los ficheros <filename>krb5.dict</filename> es simple:
- una cadena de texto por l�nea. Puede serle
+ <para>Cuando est� configurando un fichero
+ <filename>krb5.dict</filename> pensando espec�ficamente
+ en prevenir el uso de contrase�as defectuosas (la
+ p�gina de manual de
+ de <command>kadmind</command> trata el tema brevemente), recuerde
+ que solamente se aplica a principales que tienen una
+ pol�tica de contrase�as asignada. El formato
+ de los ficheros <filename>krb5.dict</filename> es simple:
+ una cadena de texto por l�nea. Puede serle
�til crear un enlace simb�lico a
<filename>/usr/share/dict/words</filename>.</para>
</listitem>
@@ -3128,48 +3128,48 @@ jdoe@example.org</screen>
<sect2>
<title>Diferencias con el port del <acronym>MIT</acronym></title>
- <para>Las diferencias m�s grandes entre las instalaciones
- <acronym>MIT</acronym> y Heimdal est�n relacionadas
- con <command>kadmin</command>, que tiene un conjunto
- diferente (pero equivalente) de �rdenes y utiliza un protocolo
- diferente. Esto tiene implicaciones muy grandes si su
- <acronym>KDC</acronym> es <acronym>MIT</acronym>, ya que no
- podr� utilizar el programa <command>kadmin</command>
- de Heimdal para administrar remotamente su <acronym>KDC</acronym>
+ <para>Las diferencias m�s grandes entre las instalaciones
+ <acronym>MIT</acronym> y Heimdal est�n relacionadas
+ con <command>kadmin</command>, que tiene un conjunto
+ diferente (pero equivalente) de �rdenes y utiliza un protocolo
+ diferente. Esto tiene implicaciones muy grandes si su
+ <acronym>KDC</acronym> es <acronym>MIT</acronym>, ya que no
+ podr� utilizar el programa <command>kadmin</command>
+ de Heimdal para administrar remotamente su <acronym>KDC</acronym>
(o viceversa).</para>
- <para>Las aplicaciones cliente pueden tambi�n disponer de
- diferentes opciones de l�nea de �rdenes para
- lograr lo mismo. Le recomendamos seguir las instrucciones de
+ <para>Las aplicaciones cliente pueden tambi�n disponer de
+ diferentes opciones de l�nea de �rdenes para
+ lograr lo mismo. Le recomendamos seguir las instrucciones de
la p�gina web de <application>Kerberos</application>
del <acronym>MIT</acronym>
- (<ulink url="http://web.mit.edu/Kerberos/www/"></ulink>).
- Sea cuidadoso con los parches: el port
- del <acronym>MIT</acronym> se instala por defecto en
- <filename>/usr/local/</filename>, y las
- aplicaciones <quote>normales</quote> del sistema pueden
+ (<ulink url="http://web.mit.edu/Kerberos/www/"></ulink>).
+ Sea cuidadoso con los parches: el port
+ del <acronym>MIT</acronym> se instala por defecto en
+ <filename>/usr/local/</filename>, y las
+ aplicaciones <quote>normales</quote> del sistema pueden
ser ejecutadas en lugar de las del <acronym>MIT</acronym>
si su variable de entorno <envar>PATH</envar> lista antes los
directorios del sistema.</para>
- <note><para>Si usa el port del <acronym>MIT</acronym>
- <filename role="package">security/krb5</filename>
- proporcionado por &os; aseg�rese de leer el fichero
- <filename>/usr/local/share/doc/krb5/README.FreeBSD</filename>
- instalado por el port si quiere entender por qu� los
- login v�a <command>telnetd</command> y
- <command>klogind</command> se comportan de un modo un tanto
- extra�o. M�s importante a�n, corregir la
- conducta de <quote>permisos incorrectos en el fichero
- cach�</quote> requiere que el binario
- <command>login.krb5</command> se use para la
- validaci�n para que pueda cambiar correctamente los
+ <note><para>Si usa el port del <acronym>MIT</acronym>
+ <filename role="package">security/krb5</filename>
+ proporcionado por &os; aseg�rese de leer el fichero
+ <filename>/usr/local/share/doc/krb5/README.FreeBSD</filename>
+ instalado por el port si quiere entender por qu� los
+ login v�a <command>telnetd</command> y
+ <command>klogind</command> se comportan de un modo un tanto
+ extra�o. M�s importante a�n, corregir la
+ conducta de <quote>permisos incorrectos en el fichero
+ cach�</quote> requiere que el binario
+ <command>login.krb5</command> se use para la
+ validaci�n para que pueda cambiar correctamente los
permisos de propiedad de credenciales reenviadas.</para></note>
</sect2>
<sect2>
- <title>Mitigaci�n de limitaciones encontradas en
+ <title>Mitigaci�n de limitaciones encontradas en
<application>Kerberos</application></title>
<indexterm>
@@ -3178,42 +3178,42 @@ jdoe@example.org</screen>
</indexterm>
<sect3>
- <title><application>Kerberos</application> es un enfoque
+ <title><application>Kerberos</application> es un enfoque
<quote>todo o nada</quote></title>
- <para>Cada servicio habilitado en la red debe modificarse
- para funcionar con <application>Kerberos</application> (o
- debe ser asegurado contra ataques de red) o de lo
- contrario las credenciales de usuario pueden robarse y
- reutilizarse. Un ejemplo de esto podr�a ser que
- <application>Kerberos</application> habilite todos los shells
- remotos ( v�a <command>rsh</command> y
- <command>telnet</command>, por ejemplo) pero que no cubra
- el servidor de correo <acronym>POP3</acronym>, que
+ <para>Cada servicio habilitado en la red debe modificarse
+ para funcionar con <application>Kerberos</application> (o
+ debe ser asegurado contra ataques de red) o de lo
+ contrario las credenciales de usuario pueden robarse y
+ reutilizarse. Un ejemplo de esto podr�a ser que
+ <application>Kerberos</application> habilite todos los shells
+ remotos ( v�a <command>rsh</command> y
+ <command>telnet</command>, por ejemplo) pero que no cubra
+ el servidor de correo <acronym>POP3</acronym>, que
env�a contrase�as en texto plano.</para>
</sect3>
<sect3>
- <title><application>Kerberos</application> est� pensado
+ <title><application>Kerberos</application> est� pensado
para estaciones de trabajo monousuario</title>
- <para>En un entorno multiusuario
- <application>Kerberos</application> es menos seguro.
- Esto se debe a que almacena los tickets en el
- directorio <filename>/tmp</filename>, que puede
- ser le�do por todos los usuarios. Si un
- usuario est� compartiendo una computadora con
- varias personas (esto es, si utiliza un sistema
- multiusuario) es posible que los tickets sean robados
+ <para>En un entorno multiusuario
+ <application>Kerberos</application> es menos seguro.
+ Esto se debe a que almacena los tickets en el
+ directorio <filename>/tmp</filename>, que puede
+ ser le�do por todos los usuarios. Si un
+ usuario est� compartiendo una computadora con
+ varias personas (esto es, si utiliza un sistema
+ multiusuario) es posible que los tickets sean robados
(copiados) por otro usuario.</para>
- <para>Esto puede solventarse con la opci�n de l�nea
- de �rdenes <literal>-c</literal> nombre-de-fichero o
- (mejor a�n) la variable de entorno
- <envar>KRB5CCNAME</envar>, pero raramente se hace.
- Si almacena los tickets en el directorio home de los
- usuarios y utiliza sin mucha complicaci�n los permisos
+ <para>Esto puede solventarse con la opci�n de l�nea
+ de �rdenes <literal>-c</literal> nombre-de-fichero o
+ (mejor a�n) la variable de entorno
+ <envar>KRB5CCNAME</envar>, pero raramente se hace.
+ Si almacena los tickets en el directorio home de los
+ usuarios y utiliza sin mucha complicaci�n los permisos
de fichero puede mitigar este problema.</para>
</sect3>
@@ -3221,36 +3221,36 @@ jdoe@example.org</screen>
<sect3>
<title>El KDC es el punto cr�tico de fallo</title>
- <para>Por motivos de dise�o el <acronym>KDC</acronym>
- es tan seguro como la base de datos principal de
- contrase�as que contiene. El
- <acronym>KDC</acronym> no debe ejecutar ning�n
- otro servicio ejecut�ndose en �l y debe ser
- f�sicamente seguro. El peligro es grande debido a que
- <application>Kerberos</application> almacena todas las
- contrase�as cifradas con la misma llave
- (la llave <quote>maestra</quote>, que a su vez se guarda
- como un fichero en el
- <acronym>KDC</acronym>).</para>
-
- <para>De todos modos una llave maestra comprometida no es
- algo tan terrible como parece a primera vista. La llave maestra
- solo se usa para cifrar la base de datos
- <application>Kerberos</application> y como semilla para el
- generador de n�meros aleatorios. Mientras sea seguro
- el acceso a su <acronym>KDC</acronym> un atancante no puede
+ <para>Por motivos de dise�o el <acronym>KDC</acronym>
+ es tan seguro como la base de datos principal de
+ contrase�as que contiene. El
+ <acronym>KDC</acronym> no debe ejecutar ning�n
+ otro servicio ejecut�ndose en �l y debe ser
+ f�sicamente seguro. El peligro es grande debido a que
+ <application>Kerberos</application> almacena todas las
+ contrase�as cifradas con la misma llave
+ (la llave <quote>maestra</quote>, que a su vez se guarda
+ como un fichero en el
+ <acronym>KDC</acronym>).</para>
+
+ <para>De todos modos una llave maestra comprometida no es
+ algo tan terrible como parece a primera vista. La llave maestra
+ solo se usa para cifrar la base de datos
+ <application>Kerberos</application> y como semilla para el
+ generador de n�meros aleatorios. Mientras sea seguro
+ el acceso a su <acronym>KDC</acronym> un atancante no puede
hacer demasiado con la llave maestra.</para>
- <para>Adem�s, si el <acronym>KDC</acronym> no est�
- disponible (quiz�s debido a un ataque de denegaci�n
- de servicio o problemas de red) no se podr�n utilizar
- los servicios de red ya que no se puede efectuar la
- validaci�n, lo que hace que esta sea una buena forma de
- lanzar un ataque de denegaci�n de servicio.
- Este problema puede aliviarse con m�ltiples
- <acronym>KDC</acronym>s (un maestro y uno o m�s esclavos)
- y con una implementaci�n cautelosa de secundarios o
- autentificaci�n de respaldo (para esto
+ <para>Adem�s, si el <acronym>KDC</acronym> no est�
+ disponible (quiz�s debido a un ataque de denegaci�n
+ de servicio o problemas de red) no se podr�n utilizar
+ los servicios de red ya que no se puede efectuar la
+ validaci�n, lo que hace que esta sea una buena forma de
+ lanzar un ataque de denegaci�n de servicio.
+ Este problema puede aliviarse con m�ltiples
+ <acronym>KDC</acronym>s (un maestro y uno o m�s esclavos)
+ y con una implementaci�n cautelosa de secundarios o
+ autentificaci�n de respaldo (para esto
<acronym>PAM</acronym> es excelente).</para>
</sect3>
@@ -3259,16 +3259,16 @@ jdoe@example.org</screen>
<title>Limitaciones de <application>Kerberos</application></title>
<para><application>Kerberos</application> le permite a usuarios,
- equipos y servicios validarse entre s�, pero no
- dispone de ning�n mecanismo para autentificar el
- <acronym>KDC</acronym> a los usuarios, equipos o servicios.
- Esto significa que una versi�n
- (por ejemplo) <quote>troyanizada</quote>
- <command>kinit</command> puede grabar todos los usuarios y sus
- contrase�as. Puede usar
- <filename role="package">security/tripwire</filename> o
- alguna otra herramienta de revisi�n de integridad
- de sistemas de ficheros para intentar evitar problemas como
+ equipos y servicios validarse entre s�, pero no
+ dispone de ning�n mecanismo para autentificar el
+ <acronym>KDC</acronym> a los usuarios, equipos o servicios.
+ Esto significa que una versi�n
+ (por ejemplo) <quote>troyanizada</quote>
+ <command>kinit</command> puede grabar todos los usuarios y sus
+ contrase�as. Puede usar
+ <filename role="package">security/tripwire</filename> o
+ alguna otra herramienta de revisi�n de integridad
+ de sistemas de ficheros para intentar evitar problemas como
este.</para>
</sect3>
@@ -3286,13 +3286,13 @@ jdoe@example.org</screen>
<listitem>
<para><ulink
url="http://www.faqs.org/faqs/Kerberos-faq/general/preamble.html">
- Las preguntas frecuentes (FAQ) de
+ Las preguntas frecuentes (FAQ) de
<application>Kerberos</application></ulink></para>
</listitem>
<listitem>
- <para><ulink url="http://web.mit.edu/Kerberos/www/dialogue.html">Designing an
- Authentication System: a Dialog in Four Scenes</ulink></para>
+ <para><ulink url="http://web.mit.edu/Kerberos/www/dialogue.html">Designing an
+ Authentication System: a Dialog in Four Scenes</ulink></para>
</listitem>
<listitem>
@@ -3302,12 +3302,12 @@ jdoe@example.org</screen>
</listitem>
<listitem>
- <para><ulink url="http://web.mit.edu/Kerberos/www/">P�gina web de <application>Kerberos</application>
+ <para><ulink url="http://web.mit.edu/Kerberos/www/">P�gina web de <application>Kerberos</application>
del <acronym>MIT</acronym></ulink></para>
</listitem>
<listitem>
- <para><ulink url="http://www.pdc.kth.se/heimdal/">P�gina web de
+ <para><ulink url="http://www.pdc.kth.se/heimdal/">P�gina web de
<application>Kerberos</application> Heimdal</ulink></para>
</listitem>
@@ -3332,61 +3332,61 @@ jdoe@example.org</screen>
</indexterm>
<para>El conjunto de herramientas <application>OpenSSL</application>
- es una caracter�stica de &os; que muchos usuarios
- pasan por alto. <application>OpenSSL</application> ofrece una
- capa de cifrada de transporte sobre la capa normal de
- comunicaci�n, permitiendo la combinaci�n con
+ es una caracter�stica de &os; que muchos usuarios
+ pasan por alto. <application>OpenSSL</application> ofrece una
+ capa de cifrada de transporte sobre la capa normal de
+ comunicaci�n, permitiendo la combinaci�n con
con muchas aplicaciones y servicios de red.</para>
- <para>Algunos usos de <application>OpenSSL</application> son
- la validaci�n cifrada de clientes de correo, las
- transacciones basadas en web como pagos con tarjetas de
- cr�dito, etc. Muchos ports, como
- <filename role="package">www/apache13-ssl</filename> y
- <filename role="package">mail/sylpheed-claws</filename>
- ofrecen soporte de compilaci�n para
+ <para>Algunos usos de <application>OpenSSL</application> son
+ la validaci�n cifrada de clientes de correo, las
+ transacciones basadas en web como pagos con tarjetas de
+ cr�dito, etc. Muchos ports, como
+ <filename role="package">www/apache13-ssl</filename> y
+ <filename role="package">mail/sylpheed-claws</filename>
+ ofrecen soporte de compilaci�n para
<application>OpenSSL</application>.</para>
<note>
- <para>En la mayor�a de los casos la colecci�n
- de ports tratar� de compilar el port
- <filename role="package">security/openssl</filename> a menos
- que la variable de make <makevar>WITH_OPENSSL_BASE</makevar>
+ <para>En la mayor�a de los casos la colecci�n
+ de ports tratar� de compilar el port
+ <filename role="package">security/openssl</filename> a menos
+ que la variable de make <makevar>WITH_OPENSSL_BASE</makevar>
sea puesta expl�citamente a <quote>yes</quote>.</para>
</note>
- <para>La versi�n de <application>OpenSSL</application>
- incluida en &os; soporta los protocolos de seguridad
- de red Secure Sockets Layer v2/v3 (SSLv2/SSLv3) y
- Transport Layer Security v1 (TLSv1) y puede utilizarse como
+ <para>La versi�n de <application>OpenSSL</application>
+ incluida en &os; soporta los protocolos de seguridad
+ de red Secure Sockets Layer v2/v3 (SSLv2/SSLv3) y
+ Transport Layer Security v1 (TLSv1) y puede utilizarse como
biblioteca criptogr�fica general.</para>
<note>
- <para><application>OpenSSL</application> soporta el
- algoritmo <acronym>IDEA</acronym> pero est�a deshabilitado
- por defecto debido a patentes en vigor en los Estados Unidos.
- Si quiere usarlo debe revisar la licencia, y si las
- restricciones le parecen aceptables active la variable
- <makevar>MAKE_IDEA</makevar> en
+ <para><application>OpenSSL</application> soporta el
+ algoritmo <acronym>IDEA</acronym> pero est�a deshabilitado
+ por defecto debido a patentes en vigor en los Estados Unidos.
+ Si quiere usarlo debe revisar la licencia, y si las
+ restricciones le parecen aceptables active la variable
+ <makevar>MAKE_IDEA</makevar> en
<filename>make.conf</filename>.</para>
</note>
- <para>Uno de los usos m�s comunes de
- <application>OpenSSL</application> es ofrecer certificados para
- usar con aplicaciones de software. Estos certificados aseguran
- que las credenciales de la compa�ia o individuo son
- v�lidos y no son fraudulentos. Si el certificado en
- cuesti�n no ha sido verificado por uno de las diversas
- <quote>autoridades certificadoras</quote>
- o <acronym>CA</acronym>, suele generarse una advertencia al respecto.
+ <para>Uno de los usos m�s comunes de
+ <application>OpenSSL</application> es ofrecer certificados para
+ usar con aplicaciones de software. Estos certificados aseguran
+ que las credenciales de la compa�ia o individuo son
+ v�lidos y no son fraudulentos. Si el certificado en
+ cuesti�n no ha sido verificado por uno de las diversas
+ <quote>autoridades certificadoras</quote>
+ o <acronym>CA</acronym>, suele generarse una advertencia al respecto.
Una autoridad de certificados es una compa�ia, como
- <ulink url="http://www.verisign.com">VeriSign</ulink>, que
+ <ulink url="http://www.verisign.com">VeriSign</ulink>, que
firma certificados para validar credenciales de individuos
- o compa�ias. Este proceso tiene un costo asociado y no es
- un requisito imprescindible para usar certificados, aunque
- puede darle un poco de tranquilidad a los usuarios
+ o compa�ias. Este proceso tiene un costo asociado y no es
+ un requisito imprescindible para usar certificados, aunque
+ puede darle un poco de tranquilidad a los usuarios
m�s paran�icos.</para>
-
+
<sect2>
<title>Generaci�n de certificados</title>
@@ -3423,35 +3423,35 @@ to be sent with your certificate request
A challenge password []:<userinput><replaceable>UNA CONTRASE�A</replaceable></userinput>
An optional company name []:<userinput><replaceable>Otro nombre</replaceable></userinput></screen>
- <para>Tenga en cuenta que la respuesta directamente despu�s
- de <quote>prompt</quote> <quote>Common Name</quote> muestra un
- nombre de dominio. Este <quote>prompt</quote> requiere que se
- introduzca un nombre de servidor para usarlo en la
- verificaci�n; si escribe cualquier otra cosa
- producir� un certificado inv�lido.
- Otras opciones, por ejemplo el tiempo
- de expiraci�n, alternan algoritmos de cifrado,
- etc. Puede ver una lista completa en la p�gina
+ <para>Tenga en cuenta que la respuesta directamente despu�s
+ de <quote>prompt</quote> <quote>Common Name</quote> muestra un
+ nombre de dominio. Este <quote>prompt</quote> requiere que se
+ introduzca un nombre de servidor para usarlo en la
+ verificaci�n; si escribe cualquier otra cosa
+ producir� un certificado inv�lido.
+ Otras opciones, por ejemplo el tiempo
+ de expiraci�n, alternan algoritmos de cifrado,
+ etc. Puede ver una lista completa en la p�gina
de manual de &man.openssl.1;.</para>
- <para>Deber�a tener dos ficheros en el directorio
- donde ha ejecutado la orden anterior. La petici�n
- de certificado,
- <filename>req.pem</filename>, es lo que debe enviar a una
- autoridad certificadora para que valide las credenciales que
- introdujo; firmar� la petici�n y le devolver�
- el certificado. El segundo fichero es
- <filename>cert.pem</filename> y es la llave privada para
- el certificado, que debe proteger a toda costa; si cae en
- malas manos podr� usarse para suplantarle a usted o a
+ <para>Deber�a tener dos ficheros en el directorio
+ donde ha ejecutado la orden anterior. La petici�n
+ de certificado,
+ <filename>req.pem</filename>, es lo que debe enviar a una
+ autoridad certificadora para que valide las credenciales que
+ introdujo; firmar� la petici�n y le devolver�
+ el certificado. El segundo fichero es
+ <filename>cert.pem</filename> y es la llave privada para
+ el certificado, que debe proteger a toda costa; si cae en
+ malas manos podr� usarse para suplantarle a usted o a
sus servidores.</para>
- <para>Si no necesita la firma de una <acronym>CA</acronym>
- puede crear y firmar usted mismo su certificado.
+ <para>Si no necesita la firma de una <acronym>CA</acronym>
+ puede crear y firmar usted mismo su certificado.
Primero, genere la llave <acronym>RSA</acronym>:</para>
<screen>&prompt.root; <userinput>openssl dsaparam -rand -genkey -out <filename>myRSA.key</filename> 1024</userinput></screen>
-
+
<para>A continuaci�n genere la llave <acronym>CA</acronym>:</para>
<screen>&prompt.root; <userinput>openssl gendsa -des3 -out <filename>myca.key</filename> <filename>myRSA.key</filename></userinput></screen>
@@ -3461,37 +3461,37 @@ An optional company name []:<userinput><replaceable>Otro nombre</replaceable></u
<screen>&prompt.root; <userinput>openssl req -new -x509 -days 365 -key <filename>myca.key</filename> -out <filename>new.crt</filename></userinput></screen>
<para>Deber�n aparecer dos nuevos ficheros en su directorio:
- un fichero de firma de autoridad de certificados
- (<filename>myca.key</filename>) y el certificado en s�,
- <filename>new.crt</filename>. Deben ubicarse en un directorio,
- que se recomienda que sea
- <filename class="directory">/etc</filename>, que es legible
- solo para <username>root</username>. Para terminar, es recomendable
- asignar permisos 0700 para el fichero con
+ un fichero de firma de autoridad de certificados
+ (<filename>myca.key</filename>) y el certificado en s�,
+ <filename>new.crt</filename>. Deben ubicarse en un directorio,
+ que se recomienda que sea
+ <filename class="directory">/etc</filename>, que es legible
+ solo para <username>root</username>. Para terminar, es recomendable
+ asignar permisos 0700 para el fichero con
<command>chmod</command>.</para>
</sect2>
<sect2>
<title>Uso de certificados; un ejemplo</title>
- <para>?Qu� pueden hacer estos ficheros?
- Cifrar conexiones al <acronym>MTA</acronym>
- <application>Sendmail</application> es un buen sitio para
- usarlos. De este modo eliminar� el uso de validaci�n
- mediante texto en claro para los usuarios que env�an
+ <para>?Qu� pueden hacer estos ficheros?
+ Cifrar conexiones al <acronym>MTA</acronym>
+ <application>Sendmail</application> es un buen sitio para
+ usarlos. De este modo eliminar� el uso de validaci�n
+ mediante texto en claro para los usuarios que env�an
correo a trav�s del <acronym>MTA</acronym>
local.</para>
<note>
- <para>No es el mejor uso en el mundo, ya que algunos
- <acronym>MUA</acronym>s enviar�n al usuario un
- mensaje de error si no tiene instalados localmente los
- certificados. Consulte la documentaci�n
- para m�s datos sobre la
+ <para>No es el mejor uso en el mundo, ya que algunos
+ <acronym>MUA</acronym>s enviar�n al usuario un
+ mensaje de error si no tiene instalados localmente los
+ certificados. Consulte la documentaci�n
+ para m�s datos sobre la
instalaci�n de certificados.</para>
</note>
- <para>Debe a�adir las siguientes l�neas
+ <para>Debe a�adir las siguientes l�neas
en su fichero local <filename>.mc</filename>:</para>
<programlisting>dnl SSL Options
@@ -3501,25 +3501,25 @@ define(`confSERVER_CERT',`/etc/certs/new.crt')dnl
define(`confSERVER_KEY',`/etc/certs/myca.key')dnl
define(`confTLS_SRV_OPTIONS', `V')dnl</programlisting>
- <para><filename class="directory">/etc/certs/</filename>
- es el directorio destinado a almacenamiento de
- los ficheros de certificado y llave en local.
+ <para><filename class="directory">/etc/certs/</filename>
+ es el directorio destinado a almacenamiento de
+ los ficheros de certificado y llave en local.
El �ltimo requisito es una reconstrucci�n
- del fichero <filename>.cf</filename> local. Solo tiene que
- teclear <command>make</command>
- <parameter>install</parameter> en el directorio
- <filename class="directory">/etc/mail</filename>.
- A continuaci�n ejecute un <command>make</command>
- <parameter>restart</parameter>, que deber�a reiniciar el
+ del fichero <filename>.cf</filename> local. Solo tiene que
+ teclear <command>make</command>
+ <parameter>install</parameter> en el directorio
+ <filename class="directory">/etc/mail</filename>.
+ A continuaci�n ejecute un <command>make</command>
+ <parameter>restart</parameter>, que deber�a reiniciar el
d&aelig;mon <application>Sendmail</application>.</para>
- <para>Si todo fu� bien no habr� mensajes de error
- en el fichero <filename>/var/log/maillog</filename>
+ <para>Si todo fu� bien no habr� mensajes de error
+ en el fichero <filename>/var/log/maillog</filename>
y <application>Sendmail</application> aparecer� en
la lista de procesos.</para>
- <para>Puede probarlo todo de una forma muy sencilla;
- con�ctese al servidor de correo mediante
+ <para>Puede probarlo todo de una forma muy sencilla;
+ con�ctese al servidor de correo mediante
&man.telnet.1;:</para>
<screen>&prompt.root; <userinput>telnet <replaceable>ejemplo.com</replaceable> 25</userinput>
@@ -3568,10 +3568,10 @@ Connection closed by foreign host.</screen>
<primary>IPsec</primary>
</indexterm>
- <para>Creaci�n de una VPN entre dos redes, a trav�s de
- Internet, mediante puertas de enlace
+ <para>Creaci�n de una VPN entre dos redes, a trav�s de
+ Internet, mediante puertas de enlace
(<quote>gateways</quote>) &os;.</para>
-
+
<sect2>
<sect2info>
<authorgroup>
@@ -3588,33 +3588,33 @@ Connection closed by foreign host.</screen>
<title>Qu� es IPsec</title>
- <para>Esta secci�n le guiar� a trav�s del
- proceso de configuraci�n de IPsec, y de su uso en un
- entorno consistente en m�quinas &os; y
- <application>&microsoft.windows; 2000/XP</application>, para
+ <para>Esta secci�n le guiar� a trav�s del
+ proceso de configuraci�n de IPsec, y de su uso en un
+ entorno consistente en m�quinas &os; y
+ <application>&microsoft.windows; 2000/XP</application>, para
hacer que se comuniquen de manera segura. Para configurar
- IPsec es necesario que est� familiarizado con los
- conceptos de construcci�n de un kernel personalizado
+ IPsec es necesario que est� familiarizado con los
+ conceptos de construcci�n de un kernel personalizado
(consulte el <xref linkend="kernelconfig"/>).</para>
-
- <para><emphasis>IPsec</emphasis> es un protocolo que est�
- sobre la capa del protocolo de Internet (IP). Le permite
- a dos o m�s equipos comunicarse de forma segura (de ah�
- el nombre). La <quote>pila de red</quote> IPsec de &os;
- se basa en la implementaci�n
- <ulink url="http://www.kame.net/">KAME</ulink>, que incluye
+
+ <para><emphasis>IPsec</emphasis> es un protocolo que est�
+ sobre la capa del protocolo de Internet (IP). Le permite
+ a dos o m�s equipos comunicarse de forma segura (de ah�
+ el nombre). La <quote>pila de red</quote> IPsec de &os;
+ se basa en la implementaci�n
+ <ulink url="http://www.kame.net/">KAME</ulink>, que incluye
soporte para las dos familias de protocolos, IPv4 e IPv6.</para>
<note>
- <para>FreeBSD 5.X contiene una pila IPsec <quote>acelerada
- por hardware</quote>, conocida como <quote>Fast
- IPsec</quote>, que fu� obtenida de OpenBSD.
- Emplea hardware criptogr�fico (cuando es posible)
- a trav�s del subsistema &man.crypto.4; para
- optimizar el rendimiento de IPsec. Este subsistema es
- nuevo, y no soporta todas las opciones disponibles en la
- versi�n KAME de IPsec. Para poder habilitar IPsec
- acelerado por hardware debe a�adir las siguientes
+ <para>FreeBSD 5.X contiene una pila IPsec <quote>acelerada
+ por hardware</quote>, conocida como <quote>Fast
+ IPsec</quote>, que fu� obtenida de OpenBSD.
+ Emplea hardware criptogr�fico (cuando es posible)
+ a trav�s del subsistema &man.crypto.4; para
+ optimizar el rendimiento de IPsec. Este subsistema es
+ nuevo, y no soporta todas las opciones disponibles en la
+ versi�n KAME de IPsec. Para poder habilitar IPsec
+ acelerado por hardware debe a�adir las siguientes
opciones al fichero de configuraci�n de su kernel:</para>
<indexterm>
@@ -3626,19 +3626,19 @@ Connection closed by foreign host.</screen>
options FAST_IPSEC # new IPsec (cannot define w/ IPSEC)
</screen>
- <para>Tenga en cuenta que no es posible utilizar el subsistema
- <quote>Fast IPsec</quote> y la implementaci�n
- KAME de IPsec en la misma computadora. Consulte la
- p�gina de manual &man.fast.ipsec.4; para m�s
+ <para>Tenga en cuenta que no es posible utilizar el subsistema
+ <quote>Fast IPsec</quote> y la implementaci�n
+ KAME de IPsec en la misma computadora. Consulte la
+ p�gina de manual &man.fast.ipsec.4; para m�s
informaci�n.</para>
</note>
-
+
<indexterm>
<primary>IPsec</primary>
<secondary>ESP</secondary>
</indexterm>
-
+
<indexterm>
<primary>IPsec</primary>
<secondary>AH</secondary>
@@ -3648,29 +3648,29 @@ options FAST_IPSEC # new IPsec (cannot define w/ IPSEC)
<itemizedlist>
<listitem>
- <para><emphasis>Encapsulated Security Payload
- (ESP)</emphasis>, que protege los datos del paquete IP
- de interferencias de terceros, cifrando el contenido
- utilizando algoritmos de criptograf�a sim�trica
- (como Blowfish, 3DES).</para>
+ <para><emphasis>Encapsulated Security Payload
+ (ESP)</emphasis>, que protege los datos del paquete IP
+ de interferencias de terceros, cifrando el contenido
+ utilizando algoritmos de criptograf�a sim�trica
+ (como Blowfish, 3DES).</para>
</listitem>
<listitem>
- <para><emphasis>Authentication Header (AH)</emphasis>, que
+ <para><emphasis>Authentication Header (AH)</emphasis>, que
protege la cabecera del paquete IP de interferencias de
- terceros as� como contra la falsificaci�n
- (<quote>spoofing</quote>), calculando una suma de
- comprobaci�n criptogr�fica y aplicando a
- los campos de cabecera IP una funci�n hash segura.
- Detr�s de todo esto va una cabecera adicional que
- contiene el hash para permitir la validaci�n de
+ terceros as� como contra la falsificaci�n
+ (<quote>spoofing</quote>), calculando una suma de
+ comprobaci�n criptogr�fica y aplicando a
+ los campos de cabecera IP una funci�n hash segura.
+ Detr�s de todo esto va una cabecera adicional que
+ contiene el hash para permitir la validaci�n de
la informaci�n que contiene el paquete.</para>
</listitem>
</itemizedlist>
-
- <para><acronym>ESP</acronym> y <acronym>AH</acronym> pueden
- utilizarse conjunta o separadamente, dependiendo del
+
+ <para><acronym>ESP</acronym> y <acronym>AH</acronym> pueden
+ utilizarse conjunta o separadamente, dependiendo del
entorno.</para>
-
+
<indexterm>
<primary>VPN</primary>
</indexterm>
@@ -3679,21 +3679,21 @@ options FAST_IPSEC # new IPsec (cannot define w/ IPSEC)
<primary>Red privada virtual</primary>
<see>VPN</see>
</indexterm>
-
- <para>IPsec puede utilizarse para cifrar directamente el
- tr�fico entre dos equipos (conocido como
- <emphasis>modo de transporte</emphasis>) o para construir
- <quote>t�neles virtuales</quote> entre dos subredes,
- que pueden usarse para comunicaci�n segura
+
+ <para>IPsec puede utilizarse para cifrar directamente el
+ tr�fico entre dos equipos (conocido como
+ <emphasis>modo de transporte</emphasis>) o para construir
+ <quote>t�neles virtuales</quote> entre dos subredes,
+ que pueden usarse para comunicaci�n segura
entre dos redes corporativas (conocido como <emphasis>modo
- de t�nel</emphasis>). Este �ltimo es muy
+ de t�nel</emphasis>). Este �ltimo es muy
conocido como una <emphasis>red privada virtual (Virtual
- Private Network, o VPN)</emphasis>. &man.ipsec.4; contiene
- informaci�n detallada sobre el subsistema IPsec de
+ Private Network, o VPN)</emphasis>. &man.ipsec.4; contiene
+ informaci�n detallada sobre el subsistema IPsec de
&os;.</para>
-
- <para>Si quiere a�dir soporte IPsec a su kernel debe
- incluir las siguientes opciones al fichero de configuraci�n
+
+ <para>Si quiere a�dir soporte IPsec a su kernel debe
+ incluir las siguientes opciones al fichero de configuraci�n
de su kernel:</para>
<indexterm>
@@ -3716,7 +3716,7 @@ options IPSEC_ESP #IP security (crypto; define w/ IPSEC)
<secondary>IPSEC_DEBUG</secondary>
</indexterm>
- <para>Si quiere soporte para la depuraci�n de
+ <para>Si quiere soporte para la depuraci�n de
errores no olvide la siguiente opci�n:</para>
<screen>
@@ -3726,26 +3726,26 @@ options IPSEC_DEBUG #debug for IP security
<sect2>
<title>El Problema</title>
-
- <para>No existe un est�ndar para lo que constituye una VPN.
- Las VPN pueden implementarse utilizando numerosas
- tecnolog�as diferentes, cada una de las cuales tiene sus
- pros y sus contras. Esta secci�n presenta un
- escenario, y las estrategias usadas para implementar una VPN
+
+ <para>No existe un est�ndar para lo que constituye una VPN.
+ Las VPN pueden implementarse utilizando numerosas
+ tecnolog�as diferentes, cada una de las cuales tiene sus
+ pros y sus contras. Esta secci�n presenta un
+ escenario, y las estrategias usadas para implementar una VPN
para este escenario.</para>
</sect2>
-
- <sect2>
- <title>El escenario: dos redes, conectadas por Internet, que
+
+ <sect2>
+ <title>El escenario: dos redes, conectadas por Internet, que
queremos que se comporten como una sola</title>
-
+
<indexterm>
<primary>VPN</primary>
<secondary>creaci�n</secondary>
</indexterm>
<para>Este es el punto de partida:</para>
-
+
<itemizedlist>
<listitem>
<para>Usted tiene al menos dos sitios</para>
@@ -3754,36 +3754,36 @@ options IPSEC_DEBUG #debug for IP security
<para>Ambos sitios utilizan IP internamente</para>
</listitem>
<listitem>
- <para>Ambos sitios est�n conectados a Internet, a
+ <para>Ambos sitios est�n conectados a Internet, a
trav�s de una puerta de enlace &os;.</para>
</listitem>
<listitem>
- <para>La puerta de enlace de cada red tiene al menos una
+ <para>La puerta de enlace de cada red tiene al menos una
direcci�n IP p�blica.</para>
</listitem>
<listitem>
- <para>Las direcciones internas de las dos redes pueden ser
- direcciones IP p�blicas o privadas, no importa.
- Puede ejecutar NAT en la m�quina que hace de
+ <para>Las direcciones internas de las dos redes pueden ser
+ direcciones IP p�blicas o privadas, no importa.
+ Puede ejecutar NAT en la m�quina que hace de
puerta de enlace si es necesario.</para>
</listitem>
<listitem>
<para>Las direcciones IP internas de las dos redes
<emphasis>no colisionan</emphasis>. Aunque espero
- que sea te�ricamente posible utilizar una
+ que sea te�ricamente posible utilizar una
combinaci�n de tecnolog�a VPN y NAT
- para hacer funcionar todo esto sospecho que
+ para hacer funcionar todo esto sospecho que
configurarlo ser�a una pesadilla.</para>
</listitem>
</itemizedlist>
-
- <para>Si lo que intenta es conectar dos redes y ambas usan el
- mismo rango de direcciones IP privadas (por ejemplo las dos usan
- <hostid role="ipaddr">192.168.1.x</hostid>)deber�a renumerar
+
+ <para>Si lo que intenta es conectar dos redes y ambas usan el
+ mismo rango de direcciones IP privadas (por ejemplo las dos usan
+ <hostid role="ipaddr">192.168.1.x</hostid>)deber�a renumerar
una de las dos redes.</para>
-
+
<para>La topolog�a de red se parecer�a a esto:</para>
-
+
<mediaobject>
<imageobject>
<imagedata fileref="security/ipsec-network" align="center"/>
@@ -3813,273 +3813,273 @@ Network #2 [ Internal Hosts ]
[ UNIX ]</literallayout>
</textobject>
</mediaobject>
-
- <para>Observe las dos direcciones IP p�blicas. Usar�
- letras para referirme a ellas en el resto de este art�culo.
- El cualquier lugar que vea esas letras en este art�culo
- reempl�celas con su propia direcci�n IP p�blica.
- Observe tambi�n que internamente las dos m�quinas
- que hacen de puerta de enlace tienen la direcci�n IP .1,
- y que las dos redes tienen direcciones IP privadas diferentes
- (<hostid
- role="ipaddr">192.168.1.x</hostid> y <hostid
- role="ipaddr">192.168.2.x</hostid> respectivamente). Todas las
- m�quinas de las redes privadas est�n configuradas para
- utilizar la m�quina <hostid role="ipaddr">.1</hostid>
+
+ <para>Observe las dos direcciones IP p�blicas. Usar�
+ letras para referirme a ellas en el resto de este art�culo.
+ El cualquier lugar que vea esas letras en este art�culo
+ reempl�celas con su propia direcci�n IP p�blica.
+ Observe tambi�n que internamente las dos m�quinas
+ que hacen de puerta de enlace tienen la direcci�n IP .1,
+ y que las dos redes tienen direcciones IP privadas diferentes
+ (<hostid
+ role="ipaddr">192.168.1.x</hostid> y <hostid
+ role="ipaddr">192.168.2.x</hostid> respectivamente). Todas las
+ m�quinas de las redes privadas est�n configuradas para
+ utilizar la m�quina <hostid role="ipaddr">.1</hostid>
como su puerta de enlace por defecto.</para>
-
- <para>La intenci�n es que, desde el punto de vista de la
- red, cada red debe ver las m�quinas en la otra red como
- si estuvieran directamente conectadas al mismo router (aunque
- aunque sea un router ligeramente lento con una tendencia
+
+ <para>La intenci�n es que, desde el punto de vista de la
+ red, cada red debe ver las m�quinas en la otra red como
+ si estuvieran directamente conectadas al mismo router (aunque
+ aunque sea un router ligeramente lento con una tendencia
ocasional a tirar paquetes).</para>
-
- <para>Esto significa que (por ejemplo), la m�quina
- <hostid role="ipaddr">192.168.1.20</hostid> debe ser
+
+ <para>Esto significa que (por ejemplo), la m�quina
+ <hostid role="ipaddr">192.168.1.20</hostid> debe ser
capaz de ejecutar</para>
-
+
<programlisting>ping 192.168.2.34</programlisting>
-
- <para>y recibir de forma transparente una respuesta. Las
- m�quinas &windows; deben ser capaces de ver las
- m�quinas de la otra red, acceder a sus ficheros
- compartidos, etc, exactamente igual que cuando acceden a
+
+ <para>y recibir de forma transparente una respuesta. Las
+ m�quinas &windows; deben ser capaces de ver las
+ m�quinas de la otra red, acceder a sus ficheros
+ compartidos, etc, exactamente igual que cuando acceden a
las m�quinas de la red local.</para>
-
- <para>Y todo debe hacerse de forma segura. Esto significa que el
- tr�fico entre las dos redes tiene que ser
+
+ <para>Y todo debe hacerse de forma segura. Esto significa que el
+ tr�fico entre las dos redes tiene que ser
cifrado.</para>
-
- <para>La creaci�n de una VPN entre estas dos redes es un
+
+ <para>La creaci�n de una VPN entre estas dos redes es un
proceso que requiere varios pasos. Las etapas son estas:</para>
-
+
<orderedlist>
<listitem>
- <para>Crear un enlace de red <quote>virtual</quote> entre las dos
- redes, a trav�s de Internet. Probarlo usando herramientas
+ <para>Crear un enlace de red <quote>virtual</quote> entre las dos
+ redes, a trav�s de Internet. Probarlo usando herramientas
como &man.ping.8; para asegurarse de que funcione.</para>
</listitem>
-
+
<listitem>
- <para>Aplicar pol�ticas de seguridad para asegurarse
- de que el tr�fico entre las dos redes sea cifrado
- y descifrado de forma transparente. Comprobarlo mediante
- herramientas como &man.tcpdump.1; para asegurarse de que
- el tr�fico est� siendo efectivamente
+ <para>Aplicar pol�ticas de seguridad para asegurarse
+ de que el tr�fico entre las dos redes sea cifrado
+ y descifrado de forma transparente. Comprobarlo mediante
+ herramientas como &man.tcpdump.1; para asegurarse de que
+ el tr�fico est� siendo efectivamente
cifrado.</para>
</listitem>
<listitem>
- <para>Configurar software adicional en las puertas de
- enlace &os; para permitir a las m�quinas &windows;
+ <para>Configurar software adicional en las puertas de
+ enlace &os; para permitir a las m�quinas &windows;
verse entre ellas a trav�s de la VPN.</para>
</listitem>
</orderedlist>
<sect3>
- <title>Paso 1: Creaci�n y prueba de un enlace de
+ <title>Paso 1: Creaci�n y prueba de un enlace de
red <quote>virtual</quote></title>
-
- <para>Suponga que est� en la puerta de enlace de la red
- red #1 (con direcci�n IP p�blica <hostid
- role="ipaddr">A.B.C.D</hostid>, direcci�n IP privada
- <hostid role="ipaddr">192.168.1.1</hostid>), y ejecuta
- <command>ping 192.168.2.1</command>, que es la direcci�n
- privada de la m�quina con direcci�n IP
- <hostid role="ipaddr">W.X.Y.Z</hostid>. ?Qu�
+
+ <para>Suponga que est� en la puerta de enlace de la red
+ red #1 (con direcci�n IP p�blica <hostid
+ role="ipaddr">A.B.C.D</hostid>, direcci�n IP privada
+ <hostid role="ipaddr">192.168.1.1</hostid>), y ejecuta
+ <command>ping 192.168.2.1</command>, que es la direcci�n
+ privada de la m�quina con direcci�n IP
+ <hostid role="ipaddr">W.X.Y.Z</hostid>. ?Qu�
hace falta para esto?</para>
<orderedlist>
<listitem>
- <para>La puerta de enlace necesita saber c�mo alcanzar
- a <hostid role="ipaddr">192.168.2.1</hostid>. En otras
+ <para>La puerta de enlace necesita saber c�mo alcanzar
+ a <hostid role="ipaddr">192.168.2.1</hostid>. En otras
palabras, necesita tener una ruta hasta <hostid
role="ipaddr">192.168.2.1</hostid>.</para>
</listitem>
<listitem>
- <para>Las direcciones IP privadas, como las que est�n
- en el rango <hostid role="ipaddr">192.168.x</hostid>
- no deber�an aparecer en Internet. Por eso, cada paquete
- que mande a <hostid role="ipaddr">192.168.2.1</hostid>
- necesitar� encerrarse dentro de otro paquete.
- Este paquete debe tener todas las caracter�sticas
- de haber sido enviado desde
- <hostid role="ipaddr">A.B.C.D</hostid>,
- y tendr� que ser enviado a <hostid
- role="ipaddr">W.X.Y.Z</hostid>. Este proceso recibe el nombre
+ <para>Las direcciones IP privadas, como las que est�n
+ en el rango <hostid role="ipaddr">192.168.x</hostid>
+ no deber�an aparecer en Internet. Por eso, cada paquete
+ que mande a <hostid role="ipaddr">192.168.2.1</hostid>
+ necesitar� encerrarse dentro de otro paquete.
+ Este paquete debe tener todas las caracter�sticas
+ de haber sido enviado desde
+ <hostid role="ipaddr">A.B.C.D</hostid>,
+ y tendr� que ser enviado a <hostid
+ role="ipaddr">W.X.Y.Z</hostid>. Este proceso recibe el nombre
de <firstterm>encapsulado</firstterm>.</para>
</listitem>
<listitem>
- <para>Una vez que este paquete llega a
- <hostid role="ipaddr">W.X.Y.Z</hostid> necesitar�
- ser <quote>desencapsulado</quote>, y entregado a
+ <para>Una vez que este paquete llega a
+ <hostid role="ipaddr">W.X.Y.Z</hostid> necesitar�
+ ser <quote>desencapsulado</quote>, y entregado a
<hostid role="ipaddr">192.168.2.1</hostid>.</para>
</listitem>
</orderedlist>
-
- <para>Puede verlo como si necesitara un <quote>t�nel</quote>
- entre las dos redes. Las dos <quote>bocas del t�nel</quote>
- son las direcciones IP <hostid role="ipaddr">A.B.C.D</hostid> y
- <hostid role="ipaddr">W.X.Y.Z</hostid>, y debe hacer que el
- t�nel sepa cu�les ser�n las direcciones
- IP privadas que tendr�n permitido el paso a trav�s
- de �l. El t�nel se usa para transferir tr�fico
- con direcciones IP privadas a trav�s de la Internet
- p�blica.</para>
-
+
+ <para>Puede verlo como si necesitara un <quote>t�nel</quote>
+ entre las dos redes. Las dos <quote>bocas del t�nel</quote>
+ son las direcciones IP <hostid role="ipaddr">A.B.C.D</hostid> y
+ <hostid role="ipaddr">W.X.Y.Z</hostid>, y debe hacer que el
+ t�nel sepa cu�les ser�n las direcciones
+ IP privadas que tendr�n permitido el paso a trav�s
+ de �l. El t�nel se usa para transferir tr�fico
+ con direcciones IP privadas a trav�s de la Internet
+ p�blica.</para>
+
<para>Este t�nel se crea mediante la interfaz gen�rica,
- o dispositivo <devicename>gif</devicename> en &os;. Como
- puede imaginarse la interfaz <devicename>gif</devicename>
- de cada puerta de enlace debe configurarse con cuatro
+ o dispositivo <devicename>gif</devicename> en &os;. Como
+ puede imaginarse la interfaz <devicename>gif</devicename>
+ de cada puerta de enlace debe configurarse con cuatro
direcciones IP: dos para las direcciones IP p�blicas,
y dos para las direcciones IP privadas.</para>
-
- <para>El soporte para el dispositivo gif debe compilarse en el
- kernel de &os; en ambas m�quinas a�adiendo
+
+ <para>El soporte para el dispositivo gif debe compilarse en el
+ kernel de &os; en ambas m�quinas a�adiendo
la l�nea</para>
-
+
<programlisting>device gif</programlisting>
-
- <para>a los ficheros de configuraci�n del kernel de
+
+ <para>a los ficheros de configuraci�n del kernel de
ambas m�quinas, compilarlo, instalarlo y reiniciar.</para>
-
- <para>La configuraci�n del t�nel es un proceso
- que consta de dos partes. Primero se le debe decir al
- t�nel cu�les son las direcciones IP exteriores
- (o p�blicas) mediante &man.gifconfig.8;. Despu�s
+
+ <para>La configuraci�n del t�nel es un proceso
+ que consta de dos partes. Primero se le debe decir al
+ t�nel cu�les son las direcciones IP exteriores
+ (o p�blicas) mediante &man.gifconfig.8;. Despu�s
configure las direcciones IP con &man.ifconfig.8;.</para>
<note>
- <para>En &os;&nbsp;5.X las funciones de &man.gifconfig.8;
+ <para>En &os;&nbsp;5.X las funciones de &man.gifconfig.8;
se han incluido en &man.ifconfig.8;.</para></note>
-
- <para>En la puerta de enlace de la red #1 debe ejecutar
- las siguientes dos �rdenes para configurar el
+
+ <para>En la puerta de enlace de la red #1 debe ejecutar
+ las siguientes dos �rdenes para configurar el
t�nel.</para>
-
+
<programlisting>gifconfig gif0 A.B.C.D W.X.Y.Z
ifconfig gif0 inet 192.168.1.1 192.168.2.1 netmask 0xffffffff
</programlisting>
-
- <para>En la otra puerta de enlace ejecute las mismas
- �rdenes, pero con el orden las direcciones IP
+
+ <para>En la otra puerta de enlace ejecute las mismas
+ �rdenes, pero con el orden las direcciones IP
invertido.</para>
-
+
<programlisting>gifconfig gif0 W.X.Y.Z A.B.C.D
ifconfig gif0 inet 192.168.2.1 192.168.1.1 netmask 0xffffffff
</programlisting>
-
+
<para>Ahora ejecute:</para>
-
+
<programlisting>gifconfig gif0</programlisting>
-
- <para>y podr� ver la configuraci�n. Por ejemplo, en la
- puerta de enlace de la red #1 ver�a algo parecido
+
+ <para>y podr� ver la configuraci�n. Por ejemplo, en la
+ puerta de enlace de la red #1 ver�a algo parecido
a esto:</para>
-
+
<screen>&prompt.root; <userinput>gifconfig gif0</userinput>
gif0: flags=8011&lt;UP,POINTTOPOINT,MULTICAST&gt; mtu 1280
inet 192.168.1.1 --&gt; 192.168.2.1 netmask 0xffffffff
physical address inet A.B.C.D --&gt; W.X.Y.Z
</screen>
-
- <para>Como puede ver se ha creado un t�nel entre las direcciones
- f�sicas <hostid role="ipaddr">A.B.C.D</hostid> y
- <hostid role="ipaddr">W.X.Y.Z</hostid>, y el tr�fico
- que puede pasar a trav�s del t�nel es entre
- <hostid role="ipaddr">192.168.1.1</hostid> y
+
+ <para>Como puede ver se ha creado un t�nel entre las direcciones
+ f�sicas <hostid role="ipaddr">A.B.C.D</hostid> y
+ <hostid role="ipaddr">W.X.Y.Z</hostid>, y el tr�fico
+ que puede pasar a trav�s del t�nel es entre
+ <hostid role="ipaddr">192.168.1.1</hostid> y
<hostid role="ipaddr">192.168.2.1</hostid>.</para>
-
- <para>Esto tambi�n habr� agregado una entrada en
- la tabla de rutas de ambas m�quinas, que puede
- examinar con <command>netstat -rn</command>.
+
+ <para>Esto tambi�n habr� agregado una entrada en
+ la tabla de rutas de ambas m�quinas, que puede
+ examinar con <command>netstat -rn</command>.
Esta salida es de la puerta de enlace de la red #1.</para>
-
+
<screen>&prompt.root; <userinput>netstat -rn</userinput>
Routing tables
-
+
Internet:
Destination Gateway Flags Refs Use Netif Expire
...
192.168.2.1 192.168.1.1 UH 0 0 gif0
...
</screen>
-
- <para>Como el valor de <quote>Flags</quote> lo indica, esta
- es una ruta de equipo, lo que significa que cada puerta de
- enlace sabe como alcanzar la otra puerta de enlace, pero no saben
- c�mo llegar al resto de sus respectivas redes. Ese
+
+ <para>Como el valor de <quote>Flags</quote> lo indica, esta
+ es una ruta de equipo, lo que significa que cada puerta de
+ enlace sabe como alcanzar la otra puerta de enlace, pero no saben
+ c�mo llegar al resto de sus respectivas redes. Ese
problema se solucionar� en breve.</para>
-
- <para>Es posible que disponga de un cortafuegos en ambas
- m�quinas, por lo que tendr� que buscar la
- forma de que el tr�fico de la VPN pueda entrar y
- salir limpiamente. Puede permitir todo el tr�fico
- de ambas redes, o puede que quiera incluir reglas en el
- cortafuegos para que protejan ambos extremos de la VPN uno
+
+ <para>Es posible que disponga de un cortafuegos en ambas
+ m�quinas, por lo que tendr� que buscar la
+ forma de que el tr�fico de la VPN pueda entrar y
+ salir limpiamente. Puede permitir todo el tr�fico
+ de ambas redes, o puede que quiera incluir reglas en el
+ cortafuegos para que protejan ambos extremos de la VPN uno
del otro.</para>
-
- <para>Las pruebas se simplifican enormemente si configura
- el cortafuegos para permitir todo el tr�fico a
- trav�s de la VPN. Siempre puede ajustar las cosas
- despu�s. Si utiliza &man.ipfw.8; en las puertas de
+
+ <para>Las pruebas se simplifican enormemente si configura
+ el cortafuegos para permitir todo el tr�fico a
+ trav�s de la VPN. Siempre puede ajustar las cosas
+ despu�s. Si utiliza &man.ipfw.8; en las puertas de
enlace una orden similar a</para>
<programlisting>ipfw add 1 allow ip from any to any via gif0</programlisting>
-
- <para>permitir� todo el tr�fico entre los dos
- extremos de la VPN, sin afectar al resto de reglas del
- cortafuegos. Obviamente tendr� que ejecutar esta orden
+
+ <para>permitir� todo el tr�fico entre los dos
+ extremos de la VPN, sin afectar al resto de reglas del
+ cortafuegos. Obviamente tendr� que ejecutar esta orden
en ambas puertas de enlace.</para>
-
- <para>Esto es suficiente para permitir a cada puerta de enlace
- hacer un ping entre ellas. En
- <hostid role="ipaddr">192.168.1.1</hostid> deber� poder
+
+ <para>Esto es suficiente para permitir a cada puerta de enlace
+ hacer un ping entre ellas. En
+ <hostid role="ipaddr">192.168.1.1</hostid> deber� poder
ejecutar</para>
-
+
<programlisting>ping 192.168.2.1</programlisting>
-
- <para>y obtener una respuesta; es obvio que deber�a poder
+
+ <para>y obtener una respuesta; es obvio que deber�a poder
hacer los mismo en la otra puerte de enlace.</para>
-
- <para>A�n no podr� acceder a las m�quinas
- internas de las redes. El problema est� en el
- encaminamiento: aunque las puertas de enlace saben
- c�mo alcanzarse m�tuamente no saben c�mo
+
+ <para>A�n no podr� acceder a las m�quinas
+ internas de las redes. El problema est� en el
+ encaminamiento: aunque las puertas de enlace saben
+ c�mo alcanzarse m�tuamente no saben c�mo
llegar a la red que hay detr�s de la otra.</para>
-
- <para>Para resolver este problema debe a�adir una ruta
- est�tica en cada puerta de enlace. La orden
+
+ <para>Para resolver este problema debe a�adir una ruta
+ est�tica en cada puerta de enlace. La orden
en la primera puerta de enlace podr�a ser:</para>
-
+
<programlisting>route add 192.168.2.0 192.168.2.1 netmask 0xffffff00
</programlisting>
-
- <para>Esto significa <quote>Para alcanzar los equipos en
- la red <hostid role="ipaddr">192.168.2.0</hostid>, env�a
- los paquetes al equipo
- <hostid role="ipaddr">192.168.2.1</hostid></quote>.
- Necesitar� ejecutar una orden similar en la otra
- puerta de enlace, pero obviamente con las direcciones
+
+ <para>Esto significa <quote>Para alcanzar los equipos en
+ la red <hostid role="ipaddr">192.168.2.0</hostid>, env�a
+ los paquetes al equipo
+ <hostid role="ipaddr">192.168.2.1</hostid></quote>.
+ Necesitar� ejecutar una orden similar en la otra
+ puerta de enlace, pero obviamente con las direcciones
<hostid role="ipaddr">192.168.1.x</hostid>.</para>
-
- <para>El tr�fico IP de equipos en una red no ser�
+
+ <para>El tr�fico IP de equipos en una red no ser�
capaz de alcanzar equipos en la otra red.</para>
-
- <para>Ya tiene dos tercios de una VPN, puesto que ya es
- <quote>virtual</quote> y es una <quote>red</quote>.
- Todav�a no es privada. Puede comprobarlo con
- &man.ping.8; y &man.tcpdump.1;. Abra una sesi�n en
+
+ <para>Ya tiene dos tercios de una VPN, puesto que ya es
+ <quote>virtual</quote> y es una <quote>red</quote>.
+ Todav�a no es privada. Puede comprobarlo con
+ &man.ping.8; y &man.tcpdump.1;. Abra una sesi�n en
la puerta de enlace y ejecute</para>
-
+
<programlisting>tcpdump dst host 192.168.2.1</programlisting>
<para>En otra sesi�n en el mismo equipo ejecute</para>
<programlisting>ping 192.168.2.1</programlisting>
-
+
<para>Ver� algo muy parecido a esto:</para>
-
+
<programlisting>
16:10:24.018080 192.168.1.1 &gt; 192.168.2.1: icmp: echo request
16:10:24.018109 192.168.1.1 &gt; 192.168.2.1: icmp: echo reply
@@ -4088,17 +4088,17 @@ Destination Gateway Flags Refs Use Netif Expire
16:10:26.028896 192.168.1.1 &gt; 192.168.2.1: icmp: echo request
16:10:26.029112 192.168.1.1 &gt; 192.168.2.1: icmp: echo reply
</programlisting>
-
- <para>Como puede ver los mensajes ICMP van y vienen sin
- cifrar. Si usa el par�metro <option>-s</option>
- en &man.tcpdump.1; para tomar m�s bytes de datos de
+
+ <para>Como puede ver los mensajes ICMP van y vienen sin
+ cifrar. Si usa el par�metro <option>-s</option>
+ en &man.tcpdump.1; para tomar m�s bytes de datos de
estos paquetes ver� m�s informaci�n.</para>
-
- <para>Obviamente esto es inaceptable. La siguiente secci�n
- explicar� c�mo asegurar el enlace entre las dos
- redes para que todo el tr�fico se cifre
+
+ <para>Obviamente esto es inaceptable. La siguiente secci�n
+ explicar� c�mo asegurar el enlace entre las dos
+ redes para que todo el tr�fico se cifre
autom�ticamente.</para>
-
+
<itemizedlist>
<title>Sumario:</title>
<listitem>
@@ -4106,8 +4106,8 @@ Destination Gateway Flags Refs Use Netif Expire
gif</quote>.</para>
</listitem>
<listitem>
- <para>Edite <filename>/etc/rc.conf</filename> en la puerta de
- enlace #1 y a�ada las siguientes l�neas
+ <para>Edite <filename>/etc/rc.conf</filename> en la puerta de
+ enlace #1 y a�ada las siguientes l�neas
(reemplazando las direcciones IP seg�n sea necesario).</para>
<programlisting>gifconfig_gif0="A.B.C.D W.X.Y.Z"
ifconfig_gif0="inet 192.168.1.1 192.168.2.1 netmask 0xffffffff"
@@ -4117,15 +4117,15 @@ route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00"
</listitem>
<listitem>
- <para>Edite la configuraci�n de su cortafuegos
- (<filename>/etc/rc.firewall</filename>, o lo que corresponda)
+ <para>Edite la configuraci�n de su cortafuegos
+ (<filename>/etc/rc.firewall</filename>, o lo que corresponda)
en ambos equipos y a�ada</para>
<programlisting>ipfw add 1 allow ip from any to any via gif0</programlisting>
</listitem>
<listitem>
- <para>Haga los cambios oportunos en el
- <filename>/etc/rc.conf</filename> de la puerta de
+ <para>Haga los cambios oportunos en el
+ <filename>/etc/rc.conf</filename> de la puerta de
enlace #2, invirtiendo el orden de las direcciones IP.</para>
</listitem>
</itemizedlist>
@@ -4133,43 +4133,43 @@ route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00"
<sect3>
<title>Paso 2: Asegurar el enlace</title>
-
- <para>Para asegurar el enlace usaremos IPsec. IPsec ofrece un
- mecanismo para que dos equipos coincidan en una llave de
- cifrado, y usar esta llave para cifrar los datos
+
+ <para>Para asegurar el enlace usaremos IPsec. IPsec ofrece un
+ mecanismo para que dos equipos coincidan en una llave de
+ cifrado, y usar esta llave para cifrar los datos
entre los dos equipos.</para>
-
- <para>Existen dos �reas de configuraci�n a
+
+ <para>Existen dos �reas de configuraci�n a
tener en cuenta:</para>
-
+
<orderedlist>
<listitem>
- <para>Debe existir un mecanismo para que los dos equipos
- se pongan de acuerdo en el mecanismo de cifrado que van a
- utilizar. Una vez que los dos equipos se han puesto de
- acuerdo dice que existe una
- <quote>asociaci�n de seguridad</quote> entre
+ <para>Debe existir un mecanismo para que los dos equipos
+ se pongan de acuerdo en el mecanismo de cifrado que van a
+ utilizar. Una vez que los dos equipos se han puesto de
+ acuerdo dice que existe una
+ <quote>asociaci�n de seguridad</quote> entre
ellos.</para>
</listitem>
<listitem>
<para>Debe existir un mecanismo para especificar que tr�fico
- debe ser cifrado. Obviamente, usted no querr�
- cifrar todo su tr�fico saliente: solo querr�
- cifrar el tr�fico que es parte de la VPN. Las
- reglas con las que determinar� qu� tr�fico
+ debe ser cifrado. Obviamente, usted no querr�
+ cifrar todo su tr�fico saliente: solo querr�
+ cifrar el tr�fico que es parte de la VPN. Las
+ reglas con las que determinar� qu� tr�fico
ser� cifrado se llaman <quote>pol�ticas
de seguridad</quote>.</para>
</listitem>
</orderedlist>
-
- <para>Tanto las asociaciones de seguridad como las
- pol�ticas de seguridad son responsabilidad del kernel,
- pero pueden ser modificadas desde el espacio de usuario.
- Antes de poder hacerlo, tendr� que configurar el kernel
- para que incluya IPsec y el protocolo ESP
- (Encapsulated Security Payload). Incluya en el fichero de
+
+ <para>Tanto las asociaciones de seguridad como las
+ pol�ticas de seguridad son responsabilidad del kernel,
+ pero pueden ser modificadas desde el espacio de usuario.
+ Antes de poder hacerlo, tendr� que configurar el kernel
+ para que incluya IPsec y el protocolo ESP
+ (Encapsulated Security Payload). Incluya en el fichero de
configuraci�n de su kernel lo siguiente:</para>
-
+
<indexterm>
<primary>opciones de kernel</primary>
<secondary>IPSEC</secondary>
@@ -4178,27 +4178,27 @@ route_vpn="192.168.2.0 192.168.2.1 netmask 0xffffff00"
<programlisting>options IPSEC
options IPSEC_ESP
</programlisting>
-
- <para>Recompile y resintale su kernel y reinicie. Como se dijo
- anteriormente, tendr� que hacer lo mismo en el kernel
+
+ <para>Recompile y resintale su kernel y reinicie. Como se dijo
+ anteriormente, tendr� que hacer lo mismo en el kernel
de las dos puertas de enlace.</para>
-
+
<indexterm>
<primary>IKE</primary>
</indexterm>
- <para>Tiene dos opciones cuando se trata de configurar
- asociaciones de seguridad. Puede configurarlas a mano en
- los dos equipos, lo que significa elegir el algoritmo de
- cifrado, las llaves de cifrado, etc, o puede utilizar
- alguno de los d&aelig;mons que implementan el protocolo
- de intercambio de llaves de Internet (IKE, Internet Key
+ <para>Tiene dos opciones cuando se trata de configurar
+ asociaciones de seguridad. Puede configurarlas a mano en
+ los dos equipos, lo que significa elegir el algoritmo de
+ cifrado, las llaves de cifrado, etc, o puede utilizar
+ alguno de los d&aelig;mons que implementan el protocolo
+ de intercambio de llaves de Internet (IKE, Internet Key
Exchange).</para>
-
- <para>Le recomiendo la segunda opci�n. Aparte de
- otras consideraciones es m�s f�cil de
+
+ <para>Le recomiendo la segunda opci�n. Aparte de
+ otras consideraciones es m�s f�cil de
configurar.</para>
-
+
<indexterm>
<primary>IPsec</primary>
<secondary>pol�ticas de seguridad</secondary>
@@ -4208,143 +4208,143 @@ options IPSEC_ESP
<primary><command>setkey</command></primary>
</indexterm>
- <para>La edici�n y despliegue se efect�a con
- &man.setkey.8;. Todo esto se entiende mejor con una
- analog�a. <command>setkey</command> es a las tablas
- de pol�ticas de seguridad del kernel lo que &man.route.8;
- es a las tablas de rutas del kernel.
- Tambi�n puede usar <command>setkey</command>
- ver las asociaciones de seguridad en vigor, siguiendo con
- la analog�a, igual que puede usar
+ <para>La edici�n y despliegue se efect�a con
+ &man.setkey.8;. Todo esto se entiende mejor con una
+ analog�a. <command>setkey</command> es a las tablas
+ de pol�ticas de seguridad del kernel lo que &man.route.8;
+ es a las tablas de rutas del kernel.
+ Tambi�n puede usar <command>setkey</command>
+ ver las asociaciones de seguridad en vigor, siguiendo con
+ la analog�a, igual que puede usar
<command>netstat -r</command>.</para>
-
- <para>Existen numerosos d&aelig;mons que pueden encargarse de
- la gesti�n de asociaciones de seguridad en &os;. En
- este texto se muestra c�mo usar uno de ellos,
- racoon (que puede instalar desde
- <filename role="package">security/racoon</filename> en la
+
+ <para>Existen numerosos d&aelig;mons que pueden encargarse de
+ la gesti�n de asociaciones de seguridad en &os;. En
+ este texto se muestra c�mo usar uno de ellos,
+ racoon (que puede instalar desde
+ <filename role="package">security/racoon</filename> en la
colecci�n de ports de &os;.</para>
-
+
<indexterm>
<primary>racoon</primary>
</indexterm>
- <para>El software <filename role="package">security/racoon</filename>
- debe ejecutarse en las dos puertas de enlace. En cada equipo
- debe configurar la direcci�n IP del otro extremo de la
- VPN y una llave secreta (que usted puede y debe elegir, y debe ser
+ <para>El software <filename role="package">security/racoon</filename>
+ debe ejecutarse en las dos puertas de enlace. En cada equipo
+ debe configurar la direcci�n IP del otro extremo de la
+ VPN y una llave secreta (que usted puede y debe elegir, y debe ser
la misma en ambas puertas de enlace).</para>
-
- <para>Los dos d&aelig;mons entran en contacto uno con otro, y confirman
- que son quienes dicen ser (utilizando la llave secreta que usted
- configur�). Los d&aelig;mons generan una nueva llave
- secreta, y la utilizan para cifrar el tr�fico que discurre a
- trav�s de la VPN. Peri�dicamente cambian esta
- llave, para que incluso si un atacante comprometiera una
- de las llaves (lo cual es te�ricamente cercano a
- imposible) no le serviri�a de mucho: para cuando el
- atacante haya <quote>crackeado</quote> la llave los d&aelig;mons
+
+ <para>Los dos d&aelig;mons entran en contacto uno con otro, y confirman
+ que son quienes dicen ser (utilizando la llave secreta que usted
+ configur�). Los d&aelig;mons generan una nueva llave
+ secreta, y la utilizan para cifrar el tr�fico que discurre a
+ trav�s de la VPN. Peri�dicamente cambian esta
+ llave, para que incluso si un atacante comprometiera una
+ de las llaves (lo cual es te�ricamente cercano a
+ imposible) no le serviri�a de mucho: para cuando el
+ atacante haya <quote>crackeado</quote> la llave los d&aelig;mons
ya habr�n escogido una nueva.</para>
-
- <para>El fichero de configuraci�n de racoon
- est� en <filename>${PREFIX}/etc/racoon</filename>.
- No deber�a tener que hacer demasiados cambios a ese
- fichero. El otro componente de la configuraci�n de
- racoon (que <emphasis>s�</emphasis> tendr� que
+
+ <para>El fichero de configuraci�n de racoon
+ est� en <filename>${PREFIX}/etc/racoon</filename>.
+ No deber�a tener que hacer demasiados cambios a ese
+ fichero. El otro componente de la configuraci�n de
+ racoon (que <emphasis>s�</emphasis> tendr� que
modificar) es la <quote>llave pre-compartida</quote>.</para>
-
- <para>La configuraci�n por defecto de racoon
- espera encontrarla en
- <filename>${PREFIX}/etc/racoon/psk.txt</filename>.
+
+ <para>La configuraci�n por defecto de racoon
+ espera encontrarla en
+ <filename>${PREFIX}/etc/racoon/psk.txt</filename>.
Es importante saber que la llave precompartida <emphasis>no</emphasis>
- es la llave que se utilizar� para cifrar el
- tr�fico a trav�s del enlace VPN; solamente es una
- muestra que permite a los d&aelig;mons que administran las
+ es la llave que se utilizar� para cifrar el
+ tr�fico a trav�s del enlace VPN; solamente es una
+ muestra que permite a los d&aelig;mons que administran las
llaves confiar el uno en el otro.</para>
- <para><filename>psk.txt</filename> contiene una l�nea
- por cada sitio remoto con el que est� tratando. En
- nuestro ejemplo, donde existen dos sitios, cada fichero
- <filename>psk.txt</filename> contendr� una l�nea
- (porque cada extremo de la VPN solo est� tratando
+ <para><filename>psk.txt</filename> contiene una l�nea
+ por cada sitio remoto con el que est� tratando. En
+ nuestro ejemplo, donde existen dos sitios, cada fichero
+ <filename>psk.txt</filename> contendr� una l�nea
+ (porque cada extremo de la VPN solo est� tratando
con un sitio en el otro extremo).</para>
-
+
<para>En la puerta de enlace #1 esta l�nea deber�a
parecerse a esta:</para>
-
+
<programlisting>W.X.Y.Z secreto</programlisting>
-
- <para>Esto es, la direcci�n IP
- <emphasis>p�blica</emphasis> del extremo remoto, un
- espacio en blanco, y una cadena de texto que es el secreto
- en s�.
+
+ <para>Esto es, la direcci�n IP
+ <emphasis>p�blica</emphasis> del extremo remoto, un
+ espacio en blanco, y una cadena de texto que es el secreto
+ en s�.
en el extremo remoto, espacio en blanco, y un texto de cadena que
- proporcina el secreto. Obviamente, no debe utilizar
- <quote>secret</quote> como su llave; aplique aqu� las
- reglas y recomendaciones habituales para la elecci�n de
+ proporcina el secreto. Obviamente, no debe utilizar
+ <quote>secret</quote> como su llave; aplique aqu� las
+ reglas y recomendaciones habituales para la elecci�n de
contrase�as.</para>
-
+
<para>En la puerta de enlace #2 la l�nea se parecer�a
a esta</para>
-
+
<programlisting>A.B.C.D secreto</programlisting>
-
- <para>Esto es, la direcci�n IP p�blica del
- extremo remoto, y la misma llave secreta.
- <filename>psk.txt</filename> debe tener modo
- <literal>0600</literal> (es decir, modo de solo
- lectura/escritura para <username>root</username>) antes de
+
+ <para>Esto es, la direcci�n IP p�blica del
+ extremo remoto, y la misma llave secreta.
+ <filename>psk.txt</filename> debe tener modo
+ <literal>0600</literal> (es decir, modo de solo
+ lectura/escritura para <username>root</username>) antes de
que ejecute racoon.</para>
-
- <para>Debe ejecutar racoon en ambas puertas de enlace.
- Tambi�n tendr� que a�adir algunas reglas
- a su cortafuegos para permitir el tr�fico IKE, que se
- transporta sobre UDP al puerto ISAKMP (Internet Security
- Association Key Management Protocol). Esto debe estar
+
+ <para>Debe ejecutar racoon en ambas puertas de enlace.
+ Tambi�n tendr� que a�adir algunas reglas
+ a su cortafuegos para permitir el tr�fico IKE, que se
+ transporta sobre UDP al puerto ISAKMP (Internet Security
+ Association Key Management Protocol). Esto debe estar
al principio de las reglas de su cortafuegos.</para>
-
+
<programlisting>ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp
ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
</programlisting>
-
- <para>Una vez que ejecute racoon puede tratar de hacer un
- ping a una puerta de enlace desde la otra. La conexi�n
- todav�a no est� cifrada porque a�n no se
- han creado las asociaciones de seguridad entre los dos
- equipos: esto puede llevar un poco de tiempo; es posible que
- advierta un peque�o retraso antes de los ping empiecen
+
+ <para>Una vez que ejecute racoon puede tratar de hacer un
+ ping a una puerta de enlace desde la otra. La conexi�n
+ todav�a no est� cifrada porque a�n no se
+ han creado las asociaciones de seguridad entre los dos
+ equipos: esto puede llevar un poco de tiempo; es posible que
+ advierta un peque�o retraso antes de los ping empiecen
responder.</para>
-
- <para>Una vez creadas las asociaciones de seguridad
+
+ <para>Una vez creadas las asociaciones de seguridad
puede verlas utilizando &man.setkey.8;. Ejecute</para>
-
+
<programlisting>setkey -D</programlisting>
-
- <para>en cualquiera de los equipos para comprobar la informaci�n
+
+ <para>en cualquiera de los equipos para comprobar la informaci�n
de la asociaci�n de seguridad.</para>
-
- <para>Ya est� resuelta la mitad del problema. La otra mitad es
+
+ <para>Ya est� resuelta la mitad del problema. La otra mitad es
configurar sus pol�ticas de seguridad.</para>
-
- <para>Queremos crear una pol�tica de seguridad sensata,
- as� que vamos a revisar lo que tenemos configurado
- hasta el momento. Esta revisi�n abarca ambos extremos
+
+ <para>Queremos crear una pol�tica de seguridad sensata,
+ as� que vamos a revisar lo que tenemos configurado
+ hasta el momento. Esta revisi�n abarca ambos extremos
del enlace.</para>
-
- <para>Cada paquete IP que usted manda tiene una cabecera que
- contiene datos acerca del paquete. La cabecera incluye la
- direcci�n IP de destino y del origen. Como ya sabemos,
- las direcciones IP privadas como el rango
- <hostid role="ipaddr">192.168.x.y</hostid> no deber�an
- aparezcan en Internet. Dado que es a trav�s de Internet
- por donde los queremos transmitir los debemos encapsular dentro
- de otro paquete. Este paquete debe contener tanto la direcci�n
- IP de destino y origen p�blicas sustituidas por las
+
+ <para>Cada paquete IP que usted manda tiene una cabecera que
+ contiene datos acerca del paquete. La cabecera incluye la
+ direcci�n IP de destino y del origen. Como ya sabemos,
+ las direcciones IP privadas como el rango
+ <hostid role="ipaddr">192.168.x.y</hostid> no deber�an
+ aparezcan en Internet. Dado que es a trav�s de Internet
+ por donde los queremos transmitir los debemos encapsular dentro
+ de otro paquete. Este paquete debe contener tanto la direcci�n
+ IP de destino y origen p�blicas sustituidas por las
direcciones privadas.</para>
-
- <para>As� que si su paquete saliente empez�
+
+ <para>As� que si su paquete saliente empez�
pareciendose a este:</para>
-
+
<mediaobject>
<imageobject>
<imagedata fileref="security/ipsec-out-pkt" align="center"/>
@@ -4361,9 +4361,9 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
`----------------------'</literallayout>
</textobject>
</mediaobject>
-
+
<para>tras el encapsulado se parecer� bastante a este:</para>
-
+
<mediaobject>
<imageobject>
<imagedata fileref="security/ipsec-encap-pkt" align="center"/>
@@ -4386,131 +4386,131 @@ ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
`--------------------------'</literallayout>
</textobject>
</mediaobject>
-
- <para>El dispositivo <devicename>gif</devicename> se encarga
- del encapsulado. Como puede ver el paquete tiene una
- direcci�n IP real en el exterior, y nuestro paquete
- original ha sido envuelto como dato dentro del paquete que
+
+ <para>El dispositivo <devicename>gif</devicename> se encarga
+ del encapsulado. Como puede ver el paquete tiene una
+ direcci�n IP real en el exterior, y nuestro paquete
+ original ha sido envuelto como dato dentro del paquete que
enviaremos a trav�s de Internet.</para>
-
- <para>Obviamente, queremos que todo el tr�fico entre
- las VPN vaya cifrado. Pongamos esto �ltimo en
+
+ <para>Obviamente, queremos que todo el tr�fico entre
+ las VPN vaya cifrado. Pongamos esto �ltimo en
palabras para comprenderlo mejor:</para>
- <para><quote>Si un paquete sale desde <hostid
- role="ipaddr">A.B.C.D</hostid>, y tiene como destino
- <hostid role="ipaddr">W.X.Y.Z</hostid>, c�fralo
+ <para><quote>Si un paquete sale desde <hostid
+ role="ipaddr">A.B.C.D</hostid>, y tiene como destino
+ <hostid role="ipaddr">W.X.Y.Z</hostid>, c�fralo
utilizando las asociaciones de seguridad necesarias.</quote></para>
-
+
<para><quote>Si un paquete llega desde <hostid
- role="ipaddr">W.X.Y.Z</hostid>, y tiene como destino
- <hostid role="ipaddr">A.B.C.D</hostid>, desc�fralo
+ role="ipaddr">W.X.Y.Z</hostid>, y tiene como destino
+ <hostid role="ipaddr">A.B.C.D</hostid>, desc�fralo
utilizando las asociaciones de seguridad necesarias.</quote></para>
- <para>Este planteamiento se aproxima bastante, pero no es
- exactamente lo que queremos hacer. Si lo hiciera as�
- todo el tr�fico desde y hacia
- <hostid role="ipaddr">W.X.Y.Z</hostid>, incluso el tr�fico
- que no forma parte de la VPN, ser� cifrado; esto no es lo que
+ <para>Este planteamiento se aproxima bastante, pero no es
+ exactamente lo que queremos hacer. Si lo hiciera as�
+ todo el tr�fico desde y hacia
+ <hostid role="ipaddr">W.X.Y.Z</hostid>, incluso el tr�fico
+ que no forma parte de la VPN, ser� cifrado; esto no es lo que
queremos. La pol�tica correcta es la siguiente:</para>
-
+
<para><quote>Si un paquete sale desde <hostid
- role="ipaddr">A.B.C.D</hostid>, y est�
- encapsulando a otro paquete, y tiene como destino
- <hostid role="ipaddr">W.X.Y.Z</hostid>, c�fralo
+ role="ipaddr">A.B.C.D</hostid>, y est�
+ encapsulando a otro paquete, y tiene como destino
+ <hostid role="ipaddr">W.X.Y.Z</hostid>, c�fralo
utilizando las asociaciones de seguridad necesarias.</quote></para>
<para><quote>Si un paquete llega desde <hostid
- role="ipaddr">W.X.Y.Z</hostid>, y est�
- encapsulando a otro paquete, y tiene como destino
- <hostid role="ipaddr">A.B.C.D</hostid>, desc�fralo
+ role="ipaddr">W.X.Y.Z</hostid>, y est�
+ encapsulando a otro paquete, y tiene como destino
+ <hostid role="ipaddr">A.B.C.D</hostid>, desc�fralo
utilizando las asociaciones de seguridad necesarias.</quote></para>
-
- <para>Un cambio sutil, pero necesario.</para>
-
- <para>Las pol�ticas de seguridad tambi�n se
- imponen utilizando &man.setkey.8;. &man.setkey.8; proporciona
- un lenguaje de configuraci�n para definir la
- pol�tica. Puede introducir las instrucciones de
- configuraci�n a trav�s de la entrada est�ndar
- (stdin), o puede usar la opci�n
- <option>-f</option> para especificar un fichero que
+
+ <para>Un cambio sutil, pero necesario.</para>
+
+ <para>Las pol�ticas de seguridad tambi�n se
+ imponen utilizando &man.setkey.8;. &man.setkey.8; proporciona
+ un lenguaje de configuraci�n para definir la
+ pol�tica. Puede introducir las instrucciones de
+ configuraci�n a trav�s de la entrada est�ndar
+ (stdin), o puede usar la opci�n
+ <option>-f</option> para especificar un fichero que
contenga las instrucciones de configuraci�n.</para>
-
- <para>La configuraci�n en la puerta de enlace #1 (que
- tiene la direcci�n IP p�blica
- <hostid role="ipaddr">A.B.C.D</hostid>) para forzar que todo
- el tr�fico saliente hacia
+
+ <para>La configuraci�n en la puerta de enlace #1 (que
+ tiene la direcci�n IP p�blica
+ <hostid role="ipaddr">A.B.C.D</hostid>) para forzar que todo
+ el tr�fico saliente hacia
<hostid role="ipaddr">W.X.Y.Z</hostid> vaya cifrado es:</para>
-
+
<programlisting>
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
</programlisting>
-
- <para>Ponga estas �rdenes en un fichero (por ejemplo
+
+ <para>Ponga estas �rdenes en un fichero (por ejemplo
<filename>/etc/ipsec.conf</filename>) y ejecute</para>
<screen>&prompt.root; <userinput>setkey -f /etc/ipsec.conf</userinput></screen>
-
- <para><option>spdadd</option> le dice a &man.setkey.8; que
- queremos a�adir una regla a la base de datos de
- pol�ticas de seguridad. El resto de la l�nea
- especifica qu� paquetes se ajustar�n a esta
- pol�tica.
+
+ <para><option>spdadd</option> le dice a &man.setkey.8; que
+ queremos a�adir una regla a la base de datos de
+ pol�ticas de seguridad. El resto de la l�nea
+ especifica qu� paquetes se ajustar�n a esta
+ pol�tica.
<hostid role="ipaddr">A.B.C.D/32</hostid> y
<hostid role="ipaddr">W.X.Y.Z/32</hostid> son las direcciones IP
y m�scaras de red que identifican la red o equipos a los
- que se aplicar� esta pol�tica. En nuestro caso
- queremos aplicarla al tr�fico entre estos dos equipos.
- <option>-P out</option> dice que esta pol�tica se aplica
- a paquetes salientes, e <option>ipsec</option> hace que el
+ que se aplicar� esta pol�tica. En nuestro caso
+ queremos aplicarla al tr�fico entre estos dos equipos.
+ <option>-P out</option> dice que esta pol�tica se aplica
+ a paquetes salientes, e <option>ipsec</option> hace que el
paquete sea asegurado.</para>
-
- <para>La segunda l�nea especifica c�mo ser�
- cifrado este paquete. <option>esp</option> es el
- protocolo que se utilizar�, mientras que
- <option>tunnel</option> indica que el paquete ser�
- despu�s encapsulado en un paquete IPsec. El uso repetido de
- <hostid role="ipaddr">A.B.C.D</hostid> y
- <hostid role="ipaddr">W.X.Y.Z</hostid> se utiliza para
- seleccionar la asociaci�n de seguridad a usar, y
- por �ltimo <option>require</option> exige que los
+
+ <para>La segunda l�nea especifica c�mo ser�
+ cifrado este paquete. <option>esp</option> es el
+ protocolo que se utilizar�, mientras que
+ <option>tunnel</option> indica que el paquete ser�
+ despu�s encapsulado en un paquete IPsec. El uso repetido de
+ <hostid role="ipaddr">A.B.C.D</hostid> y
+ <hostid role="ipaddr">W.X.Y.Z</hostid> se utiliza para
+ seleccionar la asociaci�n de seguridad a usar, y
+ por �ltimo <option>require</option> exige que los
paquetes deben cifrarse si concuerdan con esta
regla.</para>
-
- <para>Esta regla solo concuerda con paquetes salientes.
- Necesitar� una regla similar para los paquetes
+
+ <para>Esta regla solo concuerda con paquetes salientes.
+ Necesitar� una regla similar para los paquetes
entrantes.</para>
-
+
<programlisting>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;</programlisting>
-
- <para>Observe el <option>in</option> en lugar del <option>out</option>
- en este caso, y la inversi�n necesaria de las direcciones
+
+ <para>Observe el <option>in</option> en lugar del <option>out</option>
+ en este caso, y la inversi�n necesaria de las direcciones
IP.</para>
-
- <para>La otra puerta de enlace (que tiene la direcci�n
- IP p�blica <hostid role="ipaddr">W.X.Y.Z</hostid>)
+
+ <para>La otra puerta de enlace (que tiene la direcci�n
+ IP p�blica <hostid role="ipaddr">W.X.Y.Z</hostid>)
necesitar� reglas similares.</para>
-
+
<programlisting>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;</programlisting>
-
- <para>Finalmente, necesita a�adir reglas a su cortafuegos
- para permitir la circulaci�n de paquetes ESP e IPENCAP
- de ida y vuelta. Tendr� que a�adir reglas como
+
+ <para>Finalmente, necesita a�adir reglas a su cortafuegos
+ para permitir la circulaci�n de paquetes ESP e IPENCAP
+ de ida y vuelta. Tendr� que a�adir reglas como
estas a ambos equipos.</para>
-
+
<programlisting>ipfw add 1 allow esp from A.B.C.D to W.X.Y.Z
ipfw add 1 allow esp from W.X.Y.Z to A.B.C.D
ipfw add 1 allow ipencap from A.B.C.D to W.X.Y.Z
ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
</programlisting>
-
- <para>Debido a que las reglas son sim�tricas puede utilizar
+
+ <para>Debido a que las reglas son sim�tricas puede utilizar
las mismas reglas en ambas puertas de enlace.</para>
-
+
<para>Los paquetes salientes tendr�n ahora este aspecto:</para>
-
+
<mediaobject>
<imageobject>
<imagedata fileref="security/ipsec-crypt-pkt" align="center"/>
@@ -4541,77 +4541,77 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
</textobject>
</mediaobject>
- <para>Cuando los paquetes llegan al otro extremo de la VPN
- ser�n descifrados (utilizando las
- asociaciones de seguridad que han sido negociadas por racoon).
- Despu�s entrar�n al interfaz
- <devicename>gif</devicename>, que desenvuelve la segunda capa,
- hasta que nos quedamos con paquete m� interno, que puede
+ <para>Cuando los paquetes llegan al otro extremo de la VPN
+ ser�n descifrados (utilizando las
+ asociaciones de seguridad que han sido negociadas por racoon).
+ Despu�s entrar�n al interfaz
+ <devicename>gif</devicename>, que desenvuelve la segunda capa,
+ hasta que nos quedamos con paquete m� interno, que puede
entonces viajar a la red interna.</para>
-
- <para>Puede revisar la seguridad utilizando la misma prueba de
- &man.ping.8; anterior. Primero, inicie una sesi�n en
- la puerta de enlace <hostid role="ipaddr">A.B.C.D</hostid>,
+
+ <para>Puede revisar la seguridad utilizando la misma prueba de
+ &man.ping.8; anterior. Primero, inicie una sesi�n en
+ la puerta de enlace <hostid role="ipaddr">A.B.C.D</hostid>,
y ejecute:</para>
-
+
<programlisting>tcpdump dst host 192.168.2.1</programlisting>
-
+
<para>En otra sesi�n en la misma m�quina ejecute</para>
-
+
<programlisting>ping 192.168.2.1</programlisting>
-
+
<para>Deber�a ver algo similar a lo siguiente:</para>
-
+
<programlisting>XXX tcpdump output</programlisting>
-
- <para>ahora, como puede ver, &man.tcpdump.1; muestra los paquetes ESP.
- Si trata de examinarlos con la opci�n <option>-s</option>
- ver� basura (aparentemente), debido al
+
+ <para>ahora, como puede ver, &man.tcpdump.1; muestra los paquetes ESP.
+ Si trata de examinarlos con la opci�n <option>-s</option>
+ ver� basura (aparentemente), debido al
cifrado.</para>
-
- <para>Felicidades. Acaba de configurar una VPN entre dos sitios
+
+ <para>Felicidades. Acaba de configurar una VPN entre dos sitios
remotos.</para>
-
+
<itemizedlist>
<title>Sumario</title>
<listitem>
<para>Configure ambos kernel con:</para>
-
+
<programlisting>options IPSEC
options IPSEC_ESP
</programlisting>
</listitem>
<listitem>
- <para>Instale <filename role="package">security/racoon</filename>.
- Edite <filename>${PREFIX}/etc/racoon/psk.txt</filename> en ambas
- puertas de enlace a�adiendo una entrada para la
- direcci�n IP del equipo remoto y una llave secreta que
- ambos conozcan. Aseg�rese de que este fichero est�
+ <para>Instale <filename role="package">security/racoon</filename>.
+ Edite <filename>${PREFIX}/etc/racoon/psk.txt</filename> en ambas
+ puertas de enlace a�adiendo una entrada para la
+ direcci�n IP del equipo remoto y una llave secreta que
+ ambos conozcan. Aseg�rese de que este fichero est�
en modo 0600.</para>
</listitem>
<listitem>
<para>A�ada las siguientes l�neas a
<filename>/etc/rc.conf</filename> en ambos equipos:</para>
-
+
<programlisting>ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
</programlisting>
</listitem>
<listitem>
- <para>Cr�e en ambos equipos un
- <filename>/etc/ipsec.conf</filename> que contenga las
- l�neas spdadd necesarias. En la puerta de enlace
+ <para>Cr�e en ambos equipos un
+ <filename>/etc/ipsec.conf</filename> que contenga las
+ l�neas spdadd necesarias. En la puerta de enlace
#1 ser�a:</para>
-
+
<programlisting>
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec
esp/tunnel/W.X.Y.Z-A.B.C.D/require;
</programlisting>
-
+
<para>En la puerta de enlace #2 ser�a:</para>
-
+
<programlisting>
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec
esp/tunnel/W.X.Y.Z-A.B.C.D/require;
@@ -4620,10 +4620,10 @@ spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec
</programlisting>
</listitem>
<listitem>
- <para>A�ada a su(s) cortafuegos las reglas necesarias para
- que permita(n) el paso de tr�fico IKE, ESP e
+ <para>A�ada a su(s) cortafuegos las reglas necesarias para
+ que permita(n) el paso de tr�fico IKE, ESP e
IPENCAP en ambos equipos:</para>
-
+
<programlisting>
ipfw add 1 allow udp from A.B.C.D to W.X.Y.Z isakmp
ipfw add 1 allow udp from W.X.Y.Z to A.B.C.D isakmp
@@ -4635,13 +4635,13 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
</listitem>
</itemizedlist>
- <para>Los dos pasos previos deben bastar para levantar la VPN.
- Las m�quinas en cada red se�n capaces de
- dirigirse una a otra utilizando direcciones IP, y todo el
- tr�fico a trav�s del enlace ser� cifrado de
+ <para>Los dos pasos previos deben bastar para levantar la VPN.
+ Las m�quinas en cada red se�n capaces de
+ dirigirse una a otra utilizando direcciones IP, y todo el
+ tr�fico a trav�s del enlace ser� cifrado de
forma autom�tica y segura.</para>
- </sect3>
- </sect2>
+ </sect3>
+ </sect2>
</sect1>
<sect1 id="openssh">
@@ -4663,35 +4663,35 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
<secondary>OpenSSH</secondary>
</indexterm>
- <para><application>OpenSSH</application> es un conjunto de herramientas
- de conectividad que se usan para acceder a sistemas remotos de
- forma segura. Puede usarse como sustituto directo de
- <command>rlogin</command>,
- <command>rsh</command>, <command>rcp</command> y
- <command>telnet</command>. Adem�s cualquier otra conexi�n
- TCP/IP puede reenviarse o enviarse a trav�s de un t�nel a
- trav�s de SSH.
- <application>OpenSSH</application> cifra todo el tr�fico para
- eliminar de forma efectiva el espionaje, el secuestro de conexiones, y
+ <para><application>OpenSSH</application> es un conjunto de herramientas
+ de conectividad que se usan para acceder a sistemas remotos de
+ forma segura. Puede usarse como sustituto directo de
+ <command>rlogin</command>,
+ <command>rsh</command>, <command>rcp</command> y
+ <command>telnet</command>. Adem�s cualquier otra conexi�n
+ TCP/IP puede reenviarse o enviarse a trav�s de un t�nel a
+ trav�s de SSH.
+ <application>OpenSSH</application> cifra todo el tr�fico para
+ eliminar de forma efectiva el espionaje, el secuestro de conexiones, y
otros ataques en la capa de red.</para>
- <para><application>OpenSSH</application> est� a cargo del proyecto
- OpenBSD, y est� basado en SSH v1.2.12, con todos los errores
- recientes corregidos y todas las actualizaciones correspondientes.
- Es compatible con los protocolos SSH 1 y 2.
- <application>OpenSSH</application> forma parte del sistema base desde
+ <para><application>OpenSSH</application> est� a cargo del proyecto
+ OpenBSD, y est� basado en SSH v1.2.12, con todos los errores
+ recientes corregidos y todas las actualizaciones correspondientes.
+ Es compatible con los protocolos SSH 1 y 2.
+ <application>OpenSSH</application> forma parte del sistema base desde
&os;&nbsp;4.0.</para>
<sect2>
<title>Ventajas de utilizar OpenSSH</title>
-
- <para>Normalmente, al utilizar &man.telnet.1; o &man.rlogin.1;
- los datos se env�an a trav�s de la red en limpio,
- es decir, sin cifrar. Cualquier <quote>sniffer</quote> de red
- entre el cliente y el servidor puede robar la informaci�n
- de usuario/contrase�a o los datos transferidos durante
- su sesi�n. <application>OpenSSH</application> ofrece
- diversos m�todos de validaci�n y cifrado para
+
+ <para>Normalmente, al utilizar &man.telnet.1; o &man.rlogin.1;
+ los datos se env�an a trav�s de la red en limpio,
+ es decir, sin cifrar. Cualquier <quote>sniffer</quote> de red
+ entre el cliente y el servidor puede robar la informaci�n
+ de usuario/contrase�a o los datos transferidos durante
+ su sesi�n. <application>OpenSSH</application> ofrece
+ diversos m�todos de validaci�n y cifrado para
evitar que sucedan estas cosas.</para>
</sect2>
@@ -4702,18 +4702,18 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
<secondary>habilitar</secondary>
</indexterm>
- <para>El d&aelig;mon <application>sshd</application> est�
- habilitado por defecto &os;&nbsp;4.X y puede elegir habilitarlo
- o no durante la instalaci�n en &os;&nbsp;5.X. Si quiere
- saber si est� habilitado revise si la siguiente
+ <para>El d&aelig;mon <application>sshd</application> est�
+ habilitado por defecto &os;&nbsp;4.X y puede elegir habilitarlo
+ o no durante la instalaci�n en &os;&nbsp;5.X. Si quiere
+ saber si est� habilitado revise si la siguiente
l�nea est� en <filename>rc.conf</filename>:</para>
<screen>sshd_enable="YES"</screen>
- <para>Esta l�nea cargar� &man.sshd.8;, el programa
- d&aelig;mon de <application>OpenSSH</application>, en el arranque
- de su sistema. Puede ejecutar el d&aelig;mon
- <application>sshd</application> tecleando
+ <para>Esta l�nea cargar� &man.sshd.8;, el programa
+ d&aelig;mon de <application>OpenSSH</application>, en el arranque
+ de su sistema. Puede ejecutar el d&aelig;mon
+ <application>sshd</application> tecleando
<command>sshd</command> en la l�nea de �rdenes.</para>
</sect2>
@@ -4724,7 +4724,7 @@ ipfw add 1 allow ipencap from W.X.Y.Z to A.B.C.D
<secondary>cliente</secondary>
</indexterm>
- <para>&man.ssh.1; funciona de manera
+ <para>&man.ssh.1; funciona de manera
similar a &man.rlogin.1;.</para>
<screen>&prompt.root; <userinput>ssh <replaceable>user@example.com</replaceable></userinput>
@@ -4733,33 +4733,33 @@ Are you sure you want to continue connecting (yes/no)? <userinput>yes</userinput
Host 'ejemplo.com' added to the list of known hosts.
usuario@ejemplo.com's password: <userinput>*******</userinput></screen>
- <para>El login continuar� como lo har�a si fuera
- una sesi�n de <command>rlogin</command> o
- <command>telnet</command>. SSH utiliza un sistema de huellas de
- llaves para verificar la autenticidad del servidor cuando el
- cliente se conecta. Se le pide al usuario que introduzca
- <literal>yes</literal> solamente la primera vez que se
- conecta. Todos los intentos futuros de login se verifican
- contra la huella de la llave guardada la primera vez.
- El cliente SSH le alertar� si la huella guardada difiere
- de la huella recibida en futuros intentos de acceso al sistema.
- Las huellas se guardan en
- <filename>~/.ssh/known_hosts</filename>, y en
- <filename>~/.ssh/known_hosts2</filename> las huellas
+ <para>El login continuar� como lo har�a si fuera
+ una sesi�n de <command>rlogin</command> o
+ <command>telnet</command>. SSH utiliza un sistema de huellas de
+ llaves para verificar la autenticidad del servidor cuando el
+ cliente se conecta. Se le pide al usuario que introduzca
+ <literal>yes</literal> solamente la primera vez que se
+ conecta. Todos los intentos futuros de login se verifican
+ contra la huella de la llave guardada la primera vez.
+ El cliente SSH le alertar� si la huella guardada difiere
+ de la huella recibida en futuros intentos de acceso al sistema.
+ Las huellas se guardan en
+ <filename>~/.ssh/known_hosts</filename>, y en
+ <filename>~/.ssh/known_hosts2</filename> las huellas
SSH v2.</para>
-
- <para>Por defecto las versiones recientes de
- los servidores <application>OpenSSH</application> solamente
- aceptan conexiones SSH v2. El cliente utilizar� la
- versi�n 2 si es posible y pasar� como
- respaldo a la versi�n 1. El cliente puede tambi�n
- ser obligado a utilizar una u otra pas�ndole
- <option>-1</option> o <option>-2</option>, respectivamente para
- la versi�n 1 y la versi�n 2. Se mantiene la
- compatibilidad del cliente con la versi�n 1 para
+
+ <para>Por defecto las versiones recientes de
+ los servidores <application>OpenSSH</application> solamente
+ aceptan conexiones SSH v2. El cliente utilizar� la
+ versi�n 2 si es posible y pasar� como
+ respaldo a la versi�n 1. El cliente puede tambi�n
+ ser obligado a utilizar una u otra pas�ndole
+ <option>-1</option> o <option>-2</option>, respectivamente para
+ la versi�n 1 y la versi�n 2. Se mantiene la
+ compatibilidad del cliente con la versi�n 1 para
mantener la compatibilidad con versiones antiguas.</para>
</sect2>
-
+
<sect2>
<title>Copia segura</title>
<indexterm>
@@ -4768,25 +4768,25 @@ usuario@ejemplo.com's password: <userinput>*******</userinput></screen>
</indexterm>
<indexterm><primary><command>scp</command></primary></indexterm>
- <para>&man.scp.1; funciona de manera muy similar a &man.rcp.1;;
- copia un fichero desde o hacia un sistema remoto, con la
+ <para>&man.scp.1; funciona de manera muy similar a &man.rcp.1;;
+ copia un fichero desde o hacia un sistema remoto, con la
diferencia de que lo hace de una forma segura.</para>
<screen>&prompt.root; <userinput> scp <replaceable>usuario@ejemplo.com:/COPYRIGHT COPYRIGHT</replaceable></userinput>
usuario@ejemplo.com's password: <userinput>*******</userinput>
-COPYRIGHT 100% |*****************************| 4735
-00:00
+COPYRIGHT 100% |*****************************| 4735
+00:00
&prompt.root;</screen>
- <para>Ya que la huella se guard� en este equipo durante
- el ejemplo anterior se verifica ahora al utilizar
+ <para>Ya que la huella se guard� en este equipo durante
+ el ejemplo anterior se verifica ahora al utilizar
&man.scp.1;.</para>
- <para>Los argumentos de &man.scp.1; son similares
- a &man.cp.1;, con el fichero o ficheros como primer
- argumento, y el destino como segundo. Ya que el fichero
+ <para>Los argumentos de &man.scp.1; son similares
+ a &man.cp.1;, con el fichero o ficheros como primer
+ argumento, y el destino como segundo. Ya que el fichero
se transfiere a trav�s de la red, a trav�s de
- SSH, uno o m�s argumentos tienen la estructura
+ SSH, uno o m�s argumentos tienen la estructura
<option>user@host:&lt;ruta_al_fichero_remoto&gt;</option>.</para>
</sect2>
@@ -4798,25 +4798,25 @@ COPYRIGHT 100% |*****************************| 4735
<secondary>configuraci�n</secondary>
</indexterm>
- <para>Los ficheros de configuraci�n del sistema
- tanto para el d&aelig;mon <application>OpenSSH</application>
- como para el cliente est�n en
+ <para>Los ficheros de configuraci�n del sistema
+ tanto para el d&aelig;mon <application>OpenSSH</application>
+ como para el cliente est�n en
<filename>/etc/ssh</filename>.</para>
- <para><filename>ssh_config</filename> contiene las opciones
- del cliente, mientras que <filename>sshd_config</filename>
+ <para><filename>ssh_config</filename> contiene las opciones
+ del cliente, mientras que <filename>sshd_config</filename>
configura el d&aelig;mon.</para>
- <para>Adem�s las opciones <option>sshd_program</option>
- (<filename>/usr/sbin/sshd</filename> por defecto),
- y <option>sshd_flags</option> de <filename>rc.conf</filename>
+ <para>Adem�s las opciones <option>sshd_program</option>
+ (<filename>/usr/sbin/sshd</filename> por defecto),
+ y <option>sshd_flags</option> de <filename>rc.conf</filename>
ofrecer m�s niveles de configuraci�n.</para>
</sect2>
<sect2 id="security-ssh-keygen">
<title>ssh-keygen</title>
- <para>&man.ssh-keygen.1; le permite validar a un usuario sin
+ <para>&man.ssh-keygen.1; le permite validar a un usuario sin
pedirle la contrase�a:<</para>
<screen>&prompt.user; <userinput>ssh-keygen -t <replaceable>dsa</replaceable></userinput>
@@ -4831,57 +4831,57 @@ The key fingerprint is:
bb:48:db:f2:93:57:80:b6:aa:bc:f5:d5:ba:8f:79:17 usuario@host.ejemplo.com
</screen>
- <para>&man.ssh-keygen.1; crear� un par de llaves
- p�blica y privada para usar en la validaci�n.
- La llave privada se guarda en
- <filename>~/.ssh/id_dsa</filename> o en
- <filename>~/.ssh/id_rsa</filename>, mientras que la llave
- p�blica se guarda en <filename>~/.ssh/id_dsa.pub</filename>
- o en <filename>~/.ssh/id_rsa.pub</filename>, respectivamente para
- llaves DSA y RSA. La llave p�blica debe guardarse en
- el <filename>~/.ssh/authorized_keys</filename> de la
- m�quina remota para que la configuraci�n funcione.
- Las llaves RSA versi�n 1 deben guardarse en
+ <para>&man.ssh-keygen.1; crear� un par de llaves
+ p�blica y privada para usar en la validaci�n.
+ La llave privada se guarda en
+ <filename>~/.ssh/id_dsa</filename> o en
+ <filename>~/.ssh/id_rsa</filename>, mientras que la llave
+ p�blica se guarda en <filename>~/.ssh/id_dsa.pub</filename>
+ o en <filename>~/.ssh/id_rsa.pub</filename>, respectivamente para
+ llaves DSA y RSA. La llave p�blica debe guardarse en
+ el <filename>~/.ssh/authorized_keys</filename> de la
+ m�quina remota para que la configuraci�n funcione.
+ Las llaves RSA versi�n 1 deben guardarse en
<filename>~/.ssh/authorized_keys</filename>.</para>
- <para>De este modo permitir� conexiones a la m�quina
+ <para>De este modo permitir� conexiones a la m�quina
remota mediante llaves SSH en lugar de contrase�as.</para>
- <para>Si usa una contrase�a al ejecutar &man.ssh-keygen.1;, se
- le pedir� al usuario una contrase�a cada
- vez que quiera utilizar la llave privada. &man.ssh-agent.1;
- puede evitar la molestia de introducir repetidamente
- frases largas. esto se explica m� adelante, en la
+ <para>Si usa una contrase�a al ejecutar &man.ssh-keygen.1;, se
+ le pedir� al usuario una contrase�a cada
+ vez que quiera utilizar la llave privada. &man.ssh-agent.1;
+ puede evitar la molestia de introducir repetidamente
+ frases largas. esto se explica m� adelante, en la
<xref linkend="security-ssh-agent"/>.</para>
- <warning><para>Las opciones y ficheros pueden ser
- diferentes seg�n la versi�n de
- <application>OpenSSH</application> que tenga en su sistema; para
- evitar problemas consulte la p�gina de manual
+ <warning><para>Las opciones y ficheros pueden ser
+ diferentes seg�n la versi�n de
+ <application>OpenSSH</application> que tenga en su sistema; para
+ evitar problemas consulte la p�gina de manual
&man.ssh-keygen.1;.</para></warning>
</sect2>
<sect2 id="security-ssh-agent">
<title>ssh-agent y ssh-add</title>
- <para>&man.ssh-agent.1; y &man.ssh-add.1; ofrecen
- m�todos para que las llaves <application>SSH</application>
- se puedan cargar en memoria, permitiendo eliminar la necesidad de
+ <para>&man.ssh-agent.1; y &man.ssh-add.1; ofrecen
+ m�todos para que las llaves <application>SSH</application>
+ se puedan cargar en memoria, permitiendo eliminar la necesidad de
teclear la contrase�a cada vez que haga falta.</para>
- <para>&man.ssh-agent.1; gestionar� la
- validaci�n utilizando la llave (o llaves) privada que
- le cargue. &man.ssh-agent.1; se usa para lanzar otras
- aplicaciones. En el nivel m�s b�sico
- puede generar una shell o a un nivel m�s avanzado un
+ <para>&man.ssh-agent.1; gestionar� la
+ validaci�n utilizando la llave (o llaves) privada que
+ le cargue. &man.ssh-agent.1; se usa para lanzar otras
+ aplicaciones. En el nivel m�s b�sico
+ puede generar una shell o a un nivel m�s avanzado un
gestor de ventanas.</para>
- <para>Para usar &man.ssh-agent.1; en una shell necesitar�
- primero ser invocado como argumento por una shell. Segundo,
- a�ada la identidad ejecutando &man.ssh-add.1; y facilitando
- la contrase�a de la llave privada. Completados estos
- pasos el usuario puede hacer &man.ssh.1; a cualquier equipo
- que tenga instalada la llave p�blica correspondiente.
+ <para>Para usar &man.ssh-agent.1; en una shell necesitar�
+ primero ser invocado como argumento por una shell. Segundo,
+ a�ada la identidad ejecutando &man.ssh-add.1; y facilitando
+ la contrase�a de la llave privada. Completados estos
+ pasos el usuario puede hacer &man.ssh.1; a cualquier equipo
+ que tenga instalada la llave p�blica correspondiente.
Por ejemplo:</para>
<screen>&prompt.user; ssh-agent <replaceable>csh</replaceable>
@@ -4890,19 +4890,19 @@ Enter passphrase for /home/user/.ssh/id_dsa:
Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
&prompt.user;</screen>
- <para>Para utilizar &man.ssh-agent.1; en X11 tendr� que
- incluir una llamada a &man.ssh-agent.1; en
- <filename>~/.xinitrc</filename>. De este modo ofrecer�
- los servicios de &man.ssh-agent.1; a todos los programas
- lanzados en X11. Veamos un ejemplo de
+ <para>Para utilizar &man.ssh-agent.1; en X11 tendr� que
+ incluir una llamada a &man.ssh-agent.1; en
+ <filename>~/.xinitrc</filename>. De este modo ofrecer�
+ los servicios de &man.ssh-agent.1; a todos los programas
+ lanzados en X11. Veamos un ejemplo de
<filename>~/.xinitrc</filename>:</para>
<programlisting>exec ssh-agent <replaceable>startxfce4</replaceable></programlisting>
- <para>Esto lanzar�a &man.ssh-agent.1;, que a su
- vez lanzar�a <application>XFCE</application> cada
- vez que inicie X11. Hecho esto y una vez reiniciado X11
- para aplicar los cambios puede ejecutar &man.ssh-add.1; para
+ <para>Esto lanzar�a &man.ssh-agent.1;, que a su
+ vez lanzar�a <application>XFCE</application> cada
+ vez que inicie X11. Hecho esto y una vez reiniciado X11
+ para aplicar los cambios puede ejecutar &man.ssh-add.1; para
cargar todas sus llaves SSH.</para>
</sect2>
@@ -4913,26 +4913,26 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
<secondary>t�neles</secondary>
</indexterm>
- <para><application>OpenSSH</application> permite crear un t�nel
- en el que encapsular otro protocolo en una sesi�n
+ <para><application>OpenSSH</application> permite crear un t�nel
+ en el que encapsular otro protocolo en una sesi�n
cifrada.</para>
- <para>La siguiente orden le dice a &man.ssh.1; que cree un
+ <para>La siguiente orden le dice a &man.ssh.1; que cree un
t�nel para <application>telnet</application>:</para>
<screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>5023:localhost:23 usuario@foo.ejemplo.com</replaceable></userinput>
&prompt.user;</screen>
- <para>Veamos las opciones que se le han suministrado a
+ <para>Veamos las opciones que se le han suministrado a
<command>ssh</command>:</para>
<variablelist>
<varlistentry>
<term><option>-2</option></term>
-
+
<listitem>
- <para>Obliga a <command>ssh</command> a utilizar la
- versi�n 2 del protocolo. (No la use si
+ <para>Obliga a <command>ssh</command> a utilizar la
+ versi�n 2 del protocolo. (No la use si
est� trabajando con servidores SSH antiguos)</para>
</listitem>
</varlistentry>
@@ -4941,9 +4941,9 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
<term><option>-N</option></term>
<listitem>
- <para>Indica que no se ejecutar� una orden remota, o
- solamente t�nel. Si se omite,
- <command>ssh</command> iniciar�a una sesi�n
+ <para>Indica que no se ejecutar� una orden remota, o
+ solamente t�nel. Si se omite,
+ <command>ssh</command> iniciar�a una sesi�n
normal.</para>
</listitem>
</varlistentry>
@@ -4952,7 +4952,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
<term><option>-f</option></term>
<listitem>
- <para>Obliga a <command>ssh</command> a ejecutarse
+ <para>Obliga a <command>ssh</command> a ejecutarse
en segundo plano.</para>
</listitem>
</varlistentry>
@@ -4961,7 +4961,7 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
<term><option>-L</option></term>
<listitem>
- <para>Indica un t�nel local seg�n el esquema
+ <para>Indica un t�nel local seg�n el esquema
<replaceable>puerto local:equipo remoto:puerto remoto</replaceable>.</para>
</listitem>
</varlistentry>
@@ -4976,21 +4976,21 @@ Identity added: /home/user/.ssh/id_dsa (/home/user/.ssh/id_dsa)
</variablelist>
- <para>Un t�nel SSH crea un socket que escucha
- en <hostid>localhost</hostid> en el puerto especificado.
- Luego reenv�a cualquier conexi�n
- recibida en el puerto/equipo local v�a la
+ <para>Un t�nel SSH crea un socket que escucha
+ en <hostid>localhost</hostid> en el puerto especificado.
+ Luego reenv�a cualquier conexi�n
+ recibida en el puerto/equipo local v�a la
conexi�n SSH al puerto o equipo remoto especificado.</para>
- <para>En el ejemplo el puerto <replaceable>5023</replaceable> en
- <hostid>localhost</hostid> se reenv�a al puerto
- <replaceable>23</replaceable> del <hostid>localhost</hostid>
- de la m�quina remota. Ya que <replaceable>23</replaceable>
- es <application>telnet</application>, esto crear�a una
- sesi�n <application>telnet</application> segura a
+ <para>En el ejemplo el puerto <replaceable>5023</replaceable> en
+ <hostid>localhost</hostid> se reenv�a al puerto
+ <replaceable>23</replaceable> del <hostid>localhost</hostid>
+ de la m�quina remota. Ya que <replaceable>23</replaceable>
+ es <application>telnet</application>, esto crear�a una
+ sesi�n <application>telnet</application> segura a
trav�s de un t�nel SSH.</para>
- <para>Puede usar esto para encapsular cualquier otro
+ <para>Puede usar esto para encapsular cualquier otro
protocolo TCP inseguro como SMTP, POP3, FTP, etc.</para>
<example>
@@ -5002,12 +5002,12 @@ usuario@correo.ejemplo.com's password: <userinput>*****</userinput>
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
-220 correo.ejemplo.com ESMTP</screen>
+220 correo.ejemplo.com ESMTP</screen>
- <para>Puede usar esta t�cnica junto con &man.ssh-keygen.1;
- y cuentas adicionales de usuario para crear un entorno
- m�s transparente, esto es, m�s c�modo.
- Puede usar llaves en lugar de teclear contrase�as y
+ <para>Puede usar esta t�cnica junto con &man.ssh-keygen.1;
+ y cuentas adicionales de usuario para crear un entorno
+ m�s transparente, esto es, m�s c�modo.
+ Puede usar llaves en lugar de teclear contrase�as y
puede ejecutar los t�neles de varios usuarios.</para>
</example>
@@ -5017,55 +5017,55 @@ Escape character is '^]'.
<sect4>
<title>Acceso seguro a un servidor POP3</title>
- <para>En el trabajo hay un servidor SSH que acepta
- conexiones desde el exterior. En la misma red de la
- oficina reside un servidor de correo que ejecuta un
+ <para>En el trabajo hay un servidor SSH que acepta
+ conexiones desde el exterior. En la misma red de la
+ oficina reside un servidor de correo que ejecuta un
servidor POP3. La red, o ruta de red entre su casa y
- oficina puede o no ser completamente de fiar. Debido
- a esto necesita revisar su correo electr�nico
- de forma segura. La soluci�n es crear una
- conexi�n SSH al servidor SSH de su oficina y
+ oficina puede o no ser completamente de fiar. Debido
+ a esto necesita revisar su correo electr�nico
+ de forma segura. La soluci�n es crear una
+ conexi�n SSH al servidor SSH de su oficina y
llegar por un t�nel al servidor de correo.</para>
<screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>2110:correo.ejemplo.com:110 usuario@servidor-ssh.ejemplo.com</replaceable></userinput>
usuario@servidor-ssh.ejemplo.com's password: <userinput>******</userinput></screen>
- <para>cuando el t�nel est� funcionando
- haga que su cliente de correo env�e peticiones
- POP3 a <hostid>localhost</hostid> en el puerto 2110.
- La conexi�n ser� reenviada de forma totalmente
- segura a trave�s del t�nel a
+ <para>cuando el t�nel est� funcionando
+ haga que su cliente de correo env�e peticiones
+ POP3 a <hostid>localhost</hostid> en el puerto 2110.
+ La conexi�n ser� reenviada de forma totalmente
+ segura a trave�s del t�nel a
<hostid>correo.ejemplo.com</hostid>.</para>
</sect4>
<sect4>
<title>Saltarse un cortafuegos draconiano</title>
- <para>Algunos administradores de red imponen reglas de
- cortafuegos extremadamente draconianas, filtrando no
- solo las conexiones entrantes, sino tambi�n
- las salientes. Tal vez solo se le otorgue acceso
+ <para>Algunos administradores de red imponen reglas de
+ cortafuegos extremadamente draconianas, filtrando no
+ solo las conexiones entrantes, sino tambi�n
+ las salientes. Tal vez solo se le otorgue acceso
a m�quinas remotas a trav�s de los puertos 22
y 80 para ssh y navegar en web.</para>
- <para>Tal vez quiera acceder a otros servicios
- (que tal vez ni siquiera est�n relacionados con el
- trabajo), como un servidor Ogg Vorbis para escuchar
- m�sica. Si ese servidor Ogg Vorbis transmite en
- un puerto que no sea el 22 o el 80 no podr� tener
+ <para>Tal vez quiera acceder a otros servicios
+ (que tal vez ni siquiera est�n relacionados con el
+ trabajo), como un servidor Ogg Vorbis para escuchar
+ m�sica. Si ese servidor Ogg Vorbis transmite en
+ un puerto que no sea el 22 o el 80 no podr� tener
acceso a �l.</para>
- <para>La soluci�n es crear una conexi�n SSH
- fuera del cortafuegos de su red y utilizarla para hacer un
+ <para>La soluci�n es crear una conexi�n SSH
+ fuera del cortafuegos de su red y utilizarla para hacer un
t�nel al servidor Ogg Vorbis.</para>
<screen>&prompt.user; <userinput>ssh -2 -N -f -L <replaceable>8888:musica.ejemplo.com:8000 usuario@sistema-no-filtrado.ejemplo.org</replaceable></userinput>
usuario@sistema-no-filtrado.ejemplo.org's password: <userinput>*******</userinput></screen>
- <para>Haga que el programa con el que suele escuchar
- m�sica haga peticiones a
- <hostid>localhost</hostid> puerto 8888, que ser�
- reenviado a <hostid>musica.ejemplo.com</hostid>
+ <para>Haga que el programa con el que suele escuchar
+ m�sica haga peticiones a
+ <hostid>localhost</hostid> puerto 8888, que ser�
+ reenviado a <hostid>musica.ejemplo.com</hostid>
puerto 8000, evadiendo con �xito el cortafuegos.</para>
</sect4>
</sect3>
@@ -5074,37 +5074,37 @@ usuario@sistema-no-filtrado.ejemplo.org's password: <userinput>*******</userinpu
<sect2>
<title>La opci�n de usuarios <varname>AllowUsers</varname></title>
- <para>Limitar qu� usuarios pueden entrar y desde d�nde
- suele ser razonable. La opci�n
- <literal>AllowUsers</literal> le permite configurarlo, por
- ejemplo, para permitir entrar solamente al usuario
- <username>root</username> desde
- <hostid role="ipaddr">192.168.1.32</hostid>. Puede hacerlo
- con algo parecido a esto en
+ <para>Limitar qu� usuarios pueden entrar y desde d�nde
+ suele ser razonable. La opci�n
+ <literal>AllowUsers</literal> le permite configurarlo, por
+ ejemplo, para permitir entrar solamente al usuario
+ <username>root</username> desde
+ <hostid role="ipaddr">192.168.1.32</hostid>. Puede hacerlo
+ con algo parecido a esto en
<filename>/etc/ssh/sshd_config</filename>:</para>
<programlisting>AllowUsers root@192.168.1.32</programlisting>
- <para>Para permitir al usuario <username>admin</username> la
- entrada desde cualquier lugar, solamente introduzca el nombre
+ <para>Para permitir al usuario <username>admin</username> la
+ entrada desde cualquier lugar, solamente introduzca el nombre
de usuario:</para>
<programlisting>AllowUsers admin</programlisting>
- <para>Puede listar m�ltiples usuarios en la misma
+ <para>Puede listar m�ltiples usuarios en la misma
l�nea:</para>
-
+
<programlisting>AllowUsers root@192.168.1.32 admin</programlisting>
<note>
- <para>Es importante que incluya a cada usuario que necesite entrar
+ <para>Es importante que incluya a cada usuario que necesite entrar
a esta m�quina o no podr�n entrar.</para>
</note>
<para>Despu�s de hacer los cambios a b
- <filename>/etc/ssh/sshd_config</filename> debe decirle a
- &man.sshd.8; que cargue de nuevo sus ficheros de
+ <filename>/etc/ssh/sshd_config</filename> debe decirle a
+ &man.sshd.8; que cargue de nuevo sus ficheros de
configuraci�n ejecutando:</para>
<screen>&prompt.root; <userinput>/etc/rc.d/sshd reload</userinput></screen>
@@ -5113,7 +5113,7 @@ usuario@sistema-no-filtrado.ejemplo.org's password: <userinput>*******</userinpu
<sect2>
<title>Lecturas complementarias</title>
<para><ulink url="http://www.openssh.com/">OpenSSH</ulink></para>
- <para>&man.ssh.1; &man.scp.1; &man.ssh-keygen.1;
+ <para>&man.ssh.1; &man.scp.1; &man.ssh-keygen.1;
&man.ssh-agent.1; &man.ssh-add.1; &man.ssh.config.5;</para>
<para>&man.sshd.8; &man.sftp-server.8; &man.sshd.config.5;</para>
</sect2>
@@ -5136,90 +5136,90 @@ usuario@sistema-no-filtrado.ejemplo.org's password: <userinput>*******</userinpu
<primary>ACL</primary>
</indexterm>
- <para>Adem�s de otras mejoras del sistema de ficheros como
- las instant�neas (<quote>snapshots</quote>), &os; 5.0 y
- siguientes ofrecen las ACL (<quote>Access Control Lists</quote>,
- listas de control de acceso) como un elemento m�s de
+ <para>Adem�s de otras mejoras del sistema de ficheros como
+ las instant�neas (<quote>snapshots</quote>), &os; 5.0 y
+ siguientes ofrecen las ACL (<quote>Access Control Lists</quote>,
+ listas de control de acceso) como un elemento m�s de
seguridad.</para>
- <para>Las listas de control de acceso extienden el modelo de
- permisos est�ndar de &unix; de una manera altamente
- compatible (&posix;.1e). Esta opci�n permite al
- administrador usar con gran provecho un modelo de seguridad
+ <para>Las listas de control de acceso extienden el modelo de
+ permisos est�ndar de &unix; de una manera altamente
+ compatible (&posix;.1e). Esta opci�n permite al
+ administrador usar con gran provecho un modelo de seguridad
m�s sofisticado.</para>
- <para>Para habilitar soporte de <acronym>ACL</acronym> en sistemas
+ <para>Para habilitar soporte de <acronym>ACL</acronym> en sistemas
de ficheros <acronym>UFS</acronym> la siguiente opci�n:</para>
-
+
<programlisting>options UFS_ACL</programlisting>
- <para>debe ser compilada en el kernel. Si esta opci�n
- no ha sido compilada, se mostrar� un mensaje de advertencia
- si se intenta montar un sistema de ficheros que soporte
- <acronym>ACL</acronym>. Esta opci�n viene incluida
- en el kernel <filename>GENERIC</filename>.
- Las <acronym>ACL</acronym> dependen de los atributos extendidos
- habilitados en el sistema de ficheros. Los atributos extendidos
- est�n incluidos por defecto en la nueva generaci�n
+ <para>debe ser compilada en el kernel. Si esta opci�n
+ no ha sido compilada, se mostrar� un mensaje de advertencia
+ si se intenta montar un sistema de ficheros que soporte
+ <acronym>ACL</acronym>. Esta opci�n viene incluida
+ en el kernel <filename>GENERIC</filename>.
+ Las <acronym>ACL</acronym> dependen de los atributos extendidos
+ habilitados en el sistema de ficheros. Los atributos extendidos
+ est�n incluidos por defecto en la nueva generaci�n
de sistemas de ficheros &unix; <acronym>UFS2</acronym>.</para>
- <note><para>Los atributos extendidos pueden usarse tambi�n
- en <acronym>UFS1</acronym> pero requieren una carga de trabajo
- mucho m�s elevada que en <acronym>UFS2</acronym>.
- El rendimiento de los atributos extendidos es, tambi�n,
- notablemente mayor en <acronym>UFS2</acronym>. Por todo esto
- si quiere usar ACL le recomendamos encarecidamente que use
+ <note><para>Los atributos extendidos pueden usarse tambi�n
+ en <acronym>UFS1</acronym> pero requieren una carga de trabajo
+ mucho m�s elevada que en <acronym>UFS2</acronym>.
+ El rendimiento de los atributos extendidos es, tambi�n,
+ notablemente mayor en <acronym>UFS2</acronym>. Por todo esto
+ si quiere usar ACL le recomendamos encarecidamente que use
<acronym>UFS2</acronym>.</para></note>
- <para>Las<acronym>ACL</acronym> se habilitadan mediante una bandera
- administrativa durante el montaje, <option>acls</option>, en el fichero
- <filename>/etc/fstab</filename>. La bandera de montaje puede
- tambi�n activarse de forma permanente mediante
- &man.tunefs.8; para modificar una bandera de superbloque
- <acronym>ACLs</acronym> en la cabecera del sistema de ficheros.
- En general es preferible usar la bandera de superbloque por
+ <para>Las<acronym>ACL</acronym> se habilitadan mediante una bandera
+ administrativa durante el montaje, <option>acls</option>, en el fichero
+ <filename>/etc/fstab</filename>. La bandera de montaje puede
+ tambi�n activarse de forma permanente mediante
+ &man.tunefs.8; para modificar una bandera de superbloque
+ <acronym>ACLs</acronym> en la cabecera del sistema de ficheros.
+ En general es preferible usar la bandera de superbloque por
varios motivos:</para>
<itemizedlist>
<listitem>
- <para>La bandera de montaje <acronym>ACL</acronym> no puede cambiarse
- por un remontaje (&man.mount.8; <option>-u</option>), sino con un
- completo &man.umount.8; y un &man.mount.8;. Esto significa
- que no se pueden habilitar las <acronym>ACL</acronym> en el sistema
- de ficheros ra�z despu�s del arranque. Tambi�n
- significa que no se puede cambiar la disposici�n de un
+ <para>La bandera de montaje <acronym>ACL</acronym> no puede cambiarse
+ por un remontaje (&man.mount.8; <option>-u</option>), sino con un
+ completo &man.umount.8; y un &man.mount.8;. Esto significa
+ que no se pueden habilitar las <acronym>ACL</acronym> en el sistema
+ de ficheros ra�z despu�s del arranque. Tambi�n
+ significa que no se puede cambiar la disposici�n de un
de ficheros una vez que se ha comenzado a usar.</para>
</listitem>
<listitem>
- <para>Activar la bandera de superbloque provocar� que el sistema
- de ficheros se monte siempre con las <acronym>ACL</acronym>
- habilitadas incluso si no existe una entrada en
- <filename>fstab</filename> o si los dispositivos se reordenan.
- Esto es as� para prevenir un montaje accidental del
- sistema de ficheros sin tener las <acronym>ACL</acronym> habilitadas,
- que podr�a resultar en que se impongan de forma inadecuada las
- <acronym>ACL</acronym>, y en consecuencia problema de
+ <para>Activar la bandera de superbloque provocar� que el sistema
+ de ficheros se monte siempre con las <acronym>ACL</acronym>
+ habilitadas incluso si no existe una entrada en
+ <filename>fstab</filename> o si los dispositivos se reordenan.
+ Esto es as� para prevenir un montaje accidental del
+ sistema de ficheros sin tener las <acronym>ACL</acronym> habilitadas,
+ que podr�a resultar en que se impongan de forma inadecuada las
+ <acronym>ACL</acronym>, y en consecuencia problema de
seguridad.</para>
</listitem>
</itemizedlist>
- <note><para>Podemos cambiar el comportamiento de las
- <acronym>ACL</acronym> para permitirle a la bandera ser habilitada
- sin un &man.mount.8; completo, pero puede salirle el tiro por la
- culata si activa las <acronym>ACL</acronym>, luego las desactiva,
- y despu�s las vuelve a activar sin configurar desde cero las
- atributos extendidos. En general, una vez que se han deshabilitado
- las <acronym>ACL</acronym> en un sistema de ficheros no deben
- dehabilitarse, ya que la protecci�n de ficheros resultante
- puede no ser compatible las que esperan los usuarios del sistema,
- y al volver a activar las <acronym>ACL</acronym> volver a asignar
- las <acronym>ACL</acronym> a ficheros cuyos permisos hubieran sido
- cambiados, lo que puede desenbocar en un escenario
+ <note><para>Podemos cambiar el comportamiento de las
+ <acronym>ACL</acronym> para permitirle a la bandera ser habilitada
+ sin un &man.mount.8; completo, pero puede salirle el tiro por la
+ culata si activa las <acronym>ACL</acronym>, luego las desactiva,
+ y despu�s las vuelve a activar sin configurar desde cero las
+ atributos extendidos. En general, una vez que se han deshabilitado
+ las <acronym>ACL</acronym> en un sistema de ficheros no deben
+ dehabilitarse, ya que la protecci�n de ficheros resultante
+ puede no ser compatible las que esperan los usuarios del sistema,
+ y al volver a activar las <acronym>ACL</acronym> volver a asignar
+ las <acronym>ACL</acronym> a ficheros cuyos permisos hubieran sido
+ cambiados, lo que puede desenbocar en un escenario
impredecible.</para></note>
-
- <para>Los sistemas de ficheros con <acronym>ACL</acronym> habilitadas
- tienen un signo <literal>+</literal> (m�s) al visualizar
+
+ <para>Los sistemas de ficheros con <acronym>ACL</acronym> habilitadas
+ tienen un signo <literal>+</literal> (m�s) al visualizar
sus configuraciones de permisos. Por ejemplo:</para>
<programlisting>drwx------ 2 robert robert 512 Dec 27 11:54 private
@@ -5228,19 +5228,19 @@ drwxrwx---+ 2 robert robert 512 Dec 22 10:20 directorio2
drwxrwx---+ 2 robert robert 512 Dec 27 11:57 directorio3
drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
- <para>Aqu� vemos que los directorios
- <filename>directorio1</filename>,
- <filename>directorio2</filename>, y <filename>directorio3</filename>
- est�n usando <acronym>ACL</acronym>.
+ <para>Aqu� vemos que los directorios
+ <filename>directorio1</filename>,
+ <filename>directorio2</filename>, y <filename>directorio3</filename>
+ est�n usando <acronym>ACL</acronym>.
El directorio <filename>public_html</filename> no.</para>
<sect2>
<title>Uso de <acronym>ACL</acronym></title>
- <para>Las <acronym>ACL</acronym>s del sistema de ficheros pueden
- comprobarse con &man.getfacl.1;. Por ejemplo,
- para ver las configuraciones de <acronym>ACL</acronym> del
- fichero <filename>test</filename>, uno podr�a
+ <para>Las <acronym>ACL</acronym>s del sistema de ficheros pueden
+ comprobarse con &man.getfacl.1;. Por ejemplo,
+ para ver las configuraciones de <acronym>ACL</acronym> del
+ fichero <filename>test</filename>, uno podr�a
usar lo siguiente:</para>
<screen>&prompt.user; <userinput>getfacl <filename>test</filename></userinput>
@@ -5251,28 +5251,28 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
group::r--
other::r--</screen>
- <para>Para cambiar las configuraciones de las <acronym>ACL</acronym> en
+ <para>Para cambiar las configuraciones de las <acronym>ACL</acronym> en
este fichero use &man.setfacl.1;. Observe:</para>
<screen>&prompt.user; <userinput>setfacl -k <filename>test</filename></userinput></screen>
- <para>La bandera <option>-k</option> eliminar� todas
- las <acronym>ACL</acronym>s definidas para un fichero o sistema
- ficheros. El m�todo preferible ser�a utilizar
- <option>-b</option>, ya que deja los campos b�sicos
- imprescindibles para que las <acronym>ACL</acronym> sigan
+ <para>La bandera <option>-k</option> eliminar� todas
+ las <acronym>ACL</acronym>s definidas para un fichero o sistema
+ ficheros. El m�todo preferible ser�a utilizar
+ <option>-b</option>, ya que deja los campos b�sicos
+ imprescindibles para que las <acronym>ACL</acronym> sigan
funcionando.</para>
<screen>&prompt.user; <userinput>setfacl -m u:trhodes:rwx,group:web:r--,o::--- <filename>test</filename></userinput></screen>
- <para>La opci�n <option>-m</option> se usa para modificar
- las entradas por defecto de las <acronym>ACL</acronym>.
- Debido a que no hab�a entradas predefinidas puesto que
- fueron eliminadas por la orden anterior, restauraremos las
- opciones por defecto y asignar� las opciones listadas.
- Tenga en cuenta que si a�ade un nuevo usuario o grupo
- aparecer� el error <errorname>Invalid argument</errorname>
- en la salida est�ndar
+ <para>La opci�n <option>-m</option> se usa para modificar
+ las entradas por defecto de las <acronym>ACL</acronym>.
+ Debido a que no hab�a entradas predefinidas puesto que
+ fueron eliminadas por la orden anterior, restauraremos las
+ opciones por defecto y asignar� las opciones listadas.
+ Tenga en cuenta que si a�ade un nuevo usuario o grupo
+ aparecer� el error <errorname>Invalid argument</errorname>
+ en la salida est�ndar
<devicename>stdout</devicename>.</para>
</sect2>
</sect1>
@@ -5294,61 +5294,61 @@ drwxr-xr-x 2 robert robert 512 Nov 10 11:54 public_html</programlisting>
<primary>Portaudit</primary>
</indexterm>
- <para>En estos �ltimos a�os el mundo de la seguridad
- ha hecho grandes avances en cuanto a la gesti�n de las
- vulnerabilidades. La amenaza de asaltos a los sistemas se
- incrementa cuando se instalan y configuran aplicaciones de
- muy diversas procedencias en virtualmente cualquier sistema
+ <para>En estos �ltimos a�os el mundo de la seguridad
+ ha hecho grandes avances en cuanto a la gesti�n de las
+ vulnerabilidades. La amenaza de asaltos a los sistemas se
+ incrementa cuando se instalan y configuran aplicaciones de
+ muy diversas procedencias en virtualmente cualquier sistema
operativo disponible.</para>
- <para>La evaluaci�n de vulnerabilidades es un factor
- clave en la seguridad; aunque &os; libere avisos de seguridad
- relacionados con el sistema base, llevar la gesti�n
- de vulnerabilidades hasta cada aplicaci�n que se puede
- instalar en &os; va mucho m�s all� de la capacidad
- del proyecto &os;. A pesar de esto existe una forma de
- mitigar las vulnerabilidades de esas aplicaciones y advertir
- a los administradores sobre los problemas de seguridad a
- medida que se detectan. <application>Portaudit</application>
+ <para>La evaluaci�n de vulnerabilidades es un factor
+ clave en la seguridad; aunque &os; libere avisos de seguridad
+ relacionados con el sistema base, llevar la gesti�n
+ de vulnerabilidades hasta cada aplicaci�n que se puede
+ instalar en &os; va mucho m�s all� de la capacidad
+ del proyecto &os;. A pesar de esto existe una forma de
+ mitigar las vulnerabilidades de esas aplicaciones y advertir
+ a los administradores sobre los problemas de seguridad a
+ medida que se detectan. <application>Portaudit</application>
existe para hacer ese trabajo.</para>
- <para>El port <filename role="port">security/portaudit</filename>
- consulta una base de datos, actualizada y mantenida por el
- equipo de seguridad y por los desarrolladores de &os; en busca de
+ <para>El port <filename role="port">security/portaudit</filename>
+ consulta una base de datos, actualizada y mantenida por el
+ equipo de seguridad y por los desarrolladores de &os; en busca de
incidentes de seguridad que hayan sido detectados.</para>
- <para>Si quiere usar <application>Portaudit</application>
+ <para>Si quiere usar <application>Portaudit</application>
inst�lelo desde la colecci�n de ports:</para>
<screen>&prompt.root; <userinput>cd /usr/ports/security/portaudit && make install clean</userinput></screen>
- <para>Durante el proceso de instalaci�n los ficheros
- de configuraci�n de &man.periodic.8; se actualizan
- haciendo que <application>Portaudit</application>
- aparezca en el mensaje sobre la seguridad del sistema que diariamente
- Recuerde que ese correo (que se envia a la cuenta
- <username>root</username> es muy importante y deber�a
- leerlo. No hay ninguna
+ <para>Durante el proceso de instalaci�n los ficheros
+ de configuraci�n de &man.periodic.8; se actualizan
+ haciendo que <application>Portaudit</application>
+ aparezca en el mensaje sobre la seguridad del sistema que diariamente
+ Recuerde que ese correo (que se envia a la cuenta
+ <username>root</username> es muy importante y deber�a
+ leerlo. No hay ninguna
configuraci�n que deba modificar o crear.</para>
- <para>Despu�s de la instalaci�n un administrador debe
- actualizar la base de datos alojada en local en
- <filename role="directory">/var/db/portaudit</filename>
+ <para>Despu�s de la instalaci�n un administrador debe
+ actualizar la base de datos alojada en local en
+ <filename role="directory">/var/db/portaudit</filename>
mediante:</para>
<screen>&prompt.root; <userinput>portaudit -F</userinput></screen>
<note>
- <para>La base de datos ser� actualizada
- autom�ticamente durante la ejecuci�n de
- &man.periodic.8;; as� que la orden anterior es
- totalmente opcional. Solo se necesita para los siguientes
+ <para>La base de datos ser� actualizada
+ autom�ticamente durante la ejecuci�n de
+ &man.periodic.8;; as� que la orden anterior es
+ totalmente opcional. Solo se necesita para los siguientes
ejemplos.</para>
</note>
- <para>Si quiere comproblar si entre las aplicaciones que haya
- instalado desde el �rbol de ports en su sistema hay
- problemas de seguridad s�lo tiene que ejecutar lo
+ <para>Si quiere comproblar si entre las aplicaciones que haya
+ instalado desde el �rbol de ports en su sistema hay
+ problemas de seguridad s�lo tiene que ejecutar lo
siguiente:</para>
<screen>&prompt.root; <userinput>portaudit -a</userinput></screen>
@@ -5363,15 +5363,15 @@ Reference: &lt;http://www.FreeBSD.org/ports/portaudit/40a3bca2-6809-11d9-a9e7-00
You are advised to update or deinstall the affected package(s) immediately.</programlisting>
- <para>El administrador del sistema obtendr� mucha m�s
- informaci�n sobre el problema de seguridad dirigiendo su
- navegador web a la <acronym>URL</acronym> que aparece en el
- mensaje. Esto incluye versiones afectadas (por versi�n de
- port de &os;), junto con otros sitios web que contengan advertencias
+ <para>El administrador del sistema obtendr� mucha m�s
+ informaci�n sobre el problema de seguridad dirigiendo su
+ navegador web a la <acronym>URL</acronym> que aparece en el
+ mensaje. Esto incluye versiones afectadas (por versi�n de
+ port de &os;), junto con otros sitios web que contengan advertencias
de seguridad.</para>
- <para>En pocas palabras, <application>Portaudit</application> es un
- programa muy poderoso y extremadamente �til cuando se
+ <para>En pocas palabras, <application>Portaudit</application> es un
+ programa muy poderoso y extremadamente �til cuando se
combina con el port <application>Portupgrade</application>.</para>
</sect1>
@@ -5392,21 +5392,21 @@ You are advised to update or deinstall the affected package(s) immediately.</pro
<primary>Advertencias de seguridad en FreeBSD</primary>
</indexterm>
- <para>Como muchos sistemas operativos con calidad de producci�n,
- &os; publica <quote>Security Advisories</quote> (advertencias de
- seguridad. Estas advertencias suelen enviarse por correo a las
- listas de seguridad e incluidas en la Errata solamente despu�s
- de que la versi�n apropiada haya sido corregida. Esta
- secci�n tiene como fin explicar en qu� consiste una
- advertencia de seguridad, c�mo entenderla y qu�
+ <para>Como muchos sistemas operativos con calidad de producci�n,
+ &os; publica <quote>Security Advisories</quote> (advertencias de
+ seguridad. Estas advertencias suelen enviarse por correo a las
+ listas de seguridad e incluidas en la Errata solamente despu�s
+ de que la versi�n apropiada haya sido corregida. Esta
+ secci�n tiene como fin explicar en qu� consiste una
+ advertencia de seguridad, c�mo entenderla y qu�
medidas hay que tomar para parchear el sistema.</para>
<sect2>
- <title>?Qu� aspecto tiene una advertencia de
+ <title>?Qu� aspecto tiene una advertencia de
seguridad?</title>
- <para>Las advertencias de seguridad de &os; tienen un aspecto
- similar a la que se muestra aqu�. Fu� enviada a la
+ <para>Las advertencias de seguridad de &os; tienen un aspecto
+ similar a la que se muestra aqu�. Fu� enviada a la
lista de correo &a.security-notifications.name;.</para>
<programlisting>=============================================================================
@@ -5460,43 +5460,43 @@ VII. References<co id="co-ref"/></programlisting>
<calloutlist>
<callout arearefs="co-topic">
- <para>El campo <literal>Topic</literal> indica cu�l es
- exactamente el problema. B�sicamente es la
- introducci�n de la advertencia de seguridad actual
- e indica el uso malintencionado que puede darse a la
+ <para>El campo <literal>Topic</literal> indica cu�l es
+ exactamente el problema. B�sicamente es la
+ introducci�n de la advertencia de seguridad actual
+ e indica el uso malintencionado que puede darse a la
vulnerabilidad.</para>
</callout>
<callout arearefs="co-category">
- <para><literal>Category</literal> se refiere a la parte afectada del
- sistema, que puede ser
- <literal>core</literal>, <literal>contrib</literal> o
- <literal>ports</literal>. La categor�a
- <literal>core</literal> significa que la vulnerabilidad afecta
- a un componente central del sistema operativo &os;. La
- categor�a <literal>contrib</literal> significa que la
- vulnerabilidad afecta a software que no ha sido desarrollado por
- el proyecto &os;, como <application>sendmail</application>.
- La categor�a <literal>ports</literal> indica que la
- vulnerabilidad afecta a software incluido en la colecci�n
+ <para><literal>Category</literal> se refiere a la parte afectada del
+ sistema, que puede ser
+ <literal>core</literal>, <literal>contrib</literal> o
+ <literal>ports</literal>. La categor�a
+ <literal>core</literal> significa que la vulnerabilidad afecta
+ a un componente central del sistema operativo &os;. La
+ categor�a <literal>contrib</literal> significa que la
+ vulnerabilidad afecta a software que no ha sido desarrollado por
+ el proyecto &os;, como <application>sendmail</application>.
+ La categor�a <literal>ports</literal> indica que la
+ vulnerabilidad afecta a software incluido en la colecci�n
de ports.</para>
</callout>
<callout arearefs="co-module">
- <para>El campo <literal>Module</literal> se refiere a la
- ubicaci�n del componente, por ejemplo
- <literal>sys</literal>. En este ejemplo vemos que est�
- afectado el m�dulo <literal>sys</literal>;
- por lo tanto esta vulnerabilidad afecta a componentes
+ <para>El campo <literal>Module</literal> se refiere a la
+ ubicaci�n del componente, por ejemplo
+ <literal>sys</literal>. En este ejemplo vemos que est�
+ afectado el m�dulo <literal>sys</literal>;
+ por lo tanto esta vulnerabilidad afecta a componentes
utilizados dentro del kernel.</para>
</callout>
<callout arearefs="co-announce">
- <para>El campo <literal>Announced</literal> refleja la fecha
- de publicaci�n de la advertencia de seguridad fu�
- publicada o anunciada al mundo. Esto significa que el equipo
- de seguridad ha verificado que el que el problema existe y que
- se ha incluido un parche que soluciona el problema en el
+ <para>El campo <literal>Announced</literal> refleja la fecha
+ de publicaci�n de la advertencia de seguridad fu�
+ publicada o anunciada al mundo. Esto significa que el equipo
+ de seguridad ha verificado que el que el problema existe y que
+ se ha incluido un parche que soluciona el problema en el
repositorio de c�digo fuente de &os;.</para>
</callout>
@@ -5507,88 +5507,88 @@ VII. References<co id="co-ref"/></programlisting>
</callout>
<callout arearefs="co-affects">
- <para>El campo <literal>Affects</literal> explica a qu�
- versiones de &os; afecta esta vulnerabilidad. En el caso del
- kernel una r�pida revisi�n de la salida de
- <command>ident</command> en los ficheros afectados
- ayudar� a determinar la versi�n. En el caso de
- de los ports el n�mero de versi�n aparece
- despu�s del nombre del port en
- <filename>/var/db/pkg</filename>. Si el sistema no se
- sincroniza con el repositorio <acronym>CVS</acronym> de
- &os; y se reconstruye diariamente, existe la posibilidad de
+ <para>El campo <literal>Affects</literal> explica a qu�
+ versiones de &os; afecta esta vulnerabilidad. En el caso del
+ kernel una r�pida revisi�n de la salida de
+ <command>ident</command> en los ficheros afectados
+ ayudar� a determinar la versi�n. En el caso de
+ de los ports el n�mero de versi�n aparece
+ despu�s del nombre del port en
+ <filename>/var/db/pkg</filename>. Si el sistema no se
+ sincroniza con el repositorio <acronym>CVS</acronym> de
+ &os; y se reconstruye diariamente, existe la posibilidad de
que est� afectado por el problema de seguridad.</para>
</callout>
<callout arearefs="co-corrected">
- <para>El campo <literal>Corrected</literal> indica la fecha, hora,
- zona horaria y versi�n de &os; en que fu�
+ <para>El campo <literal>Corrected</literal> indica la fecha, hora,
+ zona horaria y versi�n de &os; en que fu�
corregido.</para>
</callout>
<callout arearefs="co-only">
- <para>El campo <literal>&os; only</literal> indica si la
- vulnerabilidad afecta solamente a &os; o si afecta
+ <para>El campo <literal>&os; only</literal> indica si la
+ vulnerabilidad afecta solamente a &os; o si afecta
tambi�n a otros sistemas operativos.</para>
</callout>
<callout arearefs="co-backround">
- <para>El campo <literal>Background</literal> informa acerca de
- qu� es exactamente la aplicaci�n afectada.
- La mayor parte de las veces se refiere a por qu� la
- aplicaci�n existe en &os;, para qu� se usa y
- un poco de informaci�n de c�mo lleg�
- lleg� a ocupar el lugar que ocupa en el sistema o el
+ <para>El campo <literal>Background</literal> informa acerca de
+ qu� es exactamente la aplicaci�n afectada.
+ La mayor parte de las veces se refiere a por qu� la
+ aplicaci�n existe en &os;, para qu� se usa y
+ un poco de informaci�n de c�mo lleg�
+ lleg� a ocupar el lugar que ocupa en el sistema o el
�rbol de ports.</para>
</callout>
<callout arearefs="co-descript">
- <para>El campo <literal>Problem Description</literal> explica el
- problema de seguridad en profundidad. Puede incluir
- informaci�n del c�digo err�neo,
- o incluso c�mo puede usarse maliciosamente el error
+ <para>El campo <literal>Problem Description</literal> explica el
+ problema de seguridad en profundidad. Puede incluir
+ informaci�n del c�digo err�neo,
+ o incluso c�mo puede usarse maliciosamente el error
para abrir un agujero de seguridad.</para>
</callout>
<callout arearefs="co-impact">
- <para>El campo <literal>Impact</literal> describe el tipo de
- impacto que el problema pueda tener en un sistema. Por ejemplo,
- esto puede ser desde un ataque de denegaci�n de servicio,
- hasta una escalada de privilegios de usuario, o incluso
+ <para>El campo <literal>Impact</literal> describe el tipo de
+ impacto que el problema pueda tener en un sistema. Por ejemplo,
+ esto puede ser desde un ataque de denegaci�n de servicio,
+ hasta una escalada de privilegios de usuario, o incluso
ofrecer al atacante acceso de superusuario.</para>
</callout>
<callout arearefs="co-workaround">
- <para>El campo <literal>Workaround</literal> ofrece una
- soluci�n temoral posible para los administradores
- de sistemas que tal vez no puedan actualizar el sistema.
- Esto puede deberse a la falta de tiempo, disponibilidad de
- de red, o a muchas otras razones. A pesar de todo la
- la seguridad no se debe tomar a la ligera y un sistema
- afectado debe parchearse al menos aplicar una
- soluci�n temporal para el agujero de
+ <para>El campo <literal>Workaround</literal> ofrece una
+ soluci�n temoral posible para los administradores
+ de sistemas que tal vez no puedan actualizar el sistema.
+ Esto puede deberse a la falta de tiempo, disponibilidad de
+ de red, o a muchas otras razones. A pesar de todo la
+ la seguridad no se debe tomar a la ligera y un sistema
+ afectado debe parchearse al menos aplicar una
+ soluci�n temporal para el agujero de
seguridad.</para>
</callout>
<callout arearefs="co-solution">
- <para>El campo <literal>Solution</literal> ofrece instrucciones
- para parchear el sistema afectado. Este es un m�todo paso
- a paso, probado y verificado para parchear un sistema y que
+ <para>El campo <literal>Solution</literal> ofrece instrucciones
+ para parchear el sistema afectado. Este es un m�todo paso
+ a paso, probado y verificado para parchear un sistema y que
trabaje seguro.</para>
</callout>
<callout arearefs="co-details">
- <para>El campo <literal>Correction Details</literal> despliega
- la rama del <acronym>CVS</acronym> o el nombre de la
- versi�n con los puntos cambiados a guiones bajos.
- Tambi�n muestra el n�mero de revisi�n de
+ <para>El campo <literal>Correction Details</literal> despliega
+ la rama del <acronym>CVS</acronym> o el nombre de la
+ versi�n con los puntos cambiados a guiones bajos.
+ Tambi�n muestra el n�mero de revisi�n de
los ficheros afectados dentro de cada rama.</para>
</callout>
<callout arearefs="co-ref">
- <para>El campo <literal>References</literal> suele ofrecer fuentes
- adicionales de informaci�n:
- <acronym>URL</acronym>, libros, listas de correo y grupos
+ <para>El campo <literal>References</literal> suele ofrecer fuentes
+ adicionales de informaci�n:
+ <acronym>URL</acronym>, libros, listas de correo y grupos
de noticias.</para>
</callout>
</calloutlist>
@@ -5612,28 +5612,28 @@ VII. References<co id="co-ref"/></programlisting>
<primary>Contabilidad de procesos</primary>
</indexterm>
- <para>La contabilidad de procesos es un m�todo de
- seguridad en el cual un administrador puede mantener un
- seguimiento de los recursos del sistema utilizados,
- su distribuci�n entre los usuarios, ofrecer
- monitorizaci�n del sistema y seguir la pista
+ <para>La contabilidad de procesos es un m�todo de
+ seguridad en el cual un administrador puede mantener un
+ seguimiento de los recursos del sistema utilizados,
+ su distribuci�n entre los usuarios, ofrecer
+ monitorizaci�n del sistema y seguir la pista
m�nimamente a las �rdenes de usuario.</para>
- <para>Esto en realidad tiene sus puntos positivos y negativos.
- Uno de los positivos es que una intrusi�n puede
- minimizarse en el momento de producirse. Uno negativo
- es la cantidad de logs generados por la contabilidad de
- procesos y el espacio de disco que requieren. Esta
- secci�n guiar� al administrador a
- trav�s de los fundamentos de la contabilidad de
+ <para>Esto en realidad tiene sus puntos positivos y negativos.
+ Uno de los positivos es que una intrusi�n puede
+ minimizarse en el momento de producirse. Uno negativo
+ es la cantidad de logs generados por la contabilidad de
+ procesos y el espacio de disco que requieren. Esta
+ secci�n guiar� al administrador a
+ trav�s de los fundamentos de la contabilidad de
procesos.</para>
<sect2>
- <title>C�mo habilitar y utilizar la contabilidad
+ <title>C�mo habilitar y utilizar la contabilidad
de procesos</title>
- <para>Antes de poder usar la contabilidad de procesos
- tendr� que habilitarla. Ejecute la
+ <para>Antes de poder usar la contabilidad de procesos
+ tendr� que habilitarla. Ejecute la
siguiente orden:</para>
<screen>&prompt.root; <userinput>touch <filename>/var/account/acct</filename></userinput>
@@ -5642,36 +5642,36 @@ VII. References<co id="co-ref"/></programlisting>
&prompt.root; <userinput>echo 'accounting_enable="YES"' &gt;&gt; <filename>/etc/rc.conf</filename></userinput></screen>
- <para>Una vez habilitada, la contabilidad de procesos
- empezar� a seguir el rastro de estad�sticas
- de la <acronym>CPU</acronym>, �rdenes, etc. Todos los logs
- de contabilidad est�n en un formato ilegible
- para humanos, pero accesibles para &man.sa.8;.
- Si se ejecuta sin opciones, <command>sa</command>
- imprimir� informaci�n sobre el n�mero
- de llamadas por usuario, el tiempo total transcurrido expresado
+ <para>Una vez habilitada, la contabilidad de procesos
+ empezar� a seguir el rastro de estad�sticas
+ de la <acronym>CPU</acronym>, �rdenes, etc. Todos los logs
+ de contabilidad est�n en un formato ilegible
+ para humanos, pero accesibles para &man.sa.8;.
+ Si se ejecuta sin opciones, <command>sa</command>
+ imprimir� informaci�n sobre el n�mero
+ de llamadas por usuario, el tiempo total transcurrido expresado
en minutos, el tiempo total de <acronym>CPU</acronym> y de usuario
- en minutos, el n�mero medio de operaciones de E/S,
+ en minutos, el n�mero medio de operaciones de E/S,
etc.</para>
- <para>Para ver informaci�n acerca de las �rdenes
- que se est�n ejecutados puede usar la
- &man.lastcomm.1;. <command>lastcomm</command> imprime
- �rdenes ejecutadas por los usuarios en &man.ttys.5;
+ <para>Para ver informaci�n acerca de las �rdenes
+ que se est�n ejecutados puede usar la
+ &man.lastcomm.1;. <command>lastcomm</command> imprime
+ �rdenes ejecutadas por los usuarios en &man.ttys.5;
espec�ficas. Veamos un ejemplo:</para>
<screen>&prompt.root; <userinput>lastcomm ls
<username>trhodes</username> ttyp1</userinput></screen>
- <para>Imprimir�a todas las veces (conocidas) que
- el usuario <username>trhodes</username> ha usado
- <command>ls</command> en la terminal
+ <para>Imprimir�a todas las veces (conocidas) que
+ el usuario <username>trhodes</username> ha usado
+ <command>ls</command> en la terminal
ttyp1.</para>
- <para>Hay muchas m�s opciones que pueden serle muy
- �tiles. Si quiere conocerlas consulte
- las p�ginas de manual &man.lastcomm.1;, &man.acct.5;
+ <para>Hay muchas m�s opciones que pueden serle muy
+ �tiles. Si quiere conocerlas consulte
+ las p�ginas de manual &man.lastcomm.1;, &man.acct.5;
y &man.sa.8;.</para>
</sect2>
- </sect1>
+ </sect1>
</chapter>
generated by cgit v1.2.3 (git 2.25.1) at 2025-06-13 03:08:39 +0000