Flashcards: 333.1 - Control De Acceso Discrecional
36 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: Un directorio tiene permisos drwxrwxrwt. ¿Que significa la t al final?
R: b). El sticky bit esta establecido; solo el propietario puede eliminar sus archivos El sticky bit (t en la posicion de ejecucion de “otros”) en un directorio significa que solo el propietario del archivo, el propietario del directorio o root pueden eliminar o renombrar archivos dentro del directorio, incluso si otros tienen permiso de escritura. Ejemplo clasico: /tmp.
P: ¿Que comando establece una ACL por defecto para que el usuario “juan” tenga permisos rwx en todos los nuevos archivos creados dentro de /datos/proyecto/?
R: b). setfacl -d -m u:juan:rwx /datos/proyecto/ La opcion -d (o --default) establece una ACL por defecto en el directorio. Los nuevos archivos y subdirectorios creados dentro heredaran automaticamente esta ACL.
P: Un archivo tiene la siguiente salida de getfacl: user:juan:rw- y mask::r--. ¿Cuales son los permisos efectivos de juan?
R: b). r— La mascara (mask) limita los permisos efectivos de las entradas ACL de usuarios y grupos adicionales. Los permisos efectivos son la interseccion de la ACL del usuario y la mascara: rw- AND r-- = r--.
P: ¿Que comando hace que un archivo sea completamente inmutable, impidiendo incluso a root modificarlo o eliminarlo?
R: b). chattr +i archivo El atributo inmutable (+i) impide cualquier modificacion al archivo: no se puede escribir, eliminar, renombrar o crear enlaces. Ni siquiera root puede hacerlo sin primero quitar el atributo con chattr -i.
P: Con una umask de 0027, ¿que permisos tendran los nuevos archivos creados?
R: b). 640 (rw-r-----) Los archivos se crean con permisos base 666 menos la umask: 666 - 027 = 640 (rw-r-----). Los directorios se crean con 777 - 027 = 750 (rwxr-x---).
P: ¿Que efecto tiene el bit SGID (2000) en un directorio?
R: b). Los nuevos archivos creados heredan el grupo del directorio El SGID en un directorio hace que los nuevos archivos y subdirectorios creados dentro hereden el grupo del directorio padre, en lugar del grupo primario del usuario que los crea. Es muy util para directorios de trabajo compartido.
P: ¿Que indica el simbolo + al final de los permisos en la salida de ls -l?
R: b). El archivo tiene ACLs POSIX configuradas Cuando ls -l muestra un + despues de los permisos (ej: -rw-r--r--+), indica que el archivo tiene ACLs POSIX adicionales. Se pueden ver con getfacl.
P: ¿Que comando elimina todas las ACLs de un archivo, dejando solo los permisos Unix tradicionales?
R: c). setfacl -b archivo La opcion -b (o --remove-all) elimina todas las ACLs extendidas del archivo, dejando solo los permisos Unix basicos. -x elimina entradas especificas, -k elimina ACLs por defecto, -d establece ACLs por defecto.
P: ¿Que atributo de chattr permite solo añadir contenido a un archivo sin poder modificar o eliminar el contenido existente?
R: b). +a (append-only) El atributo append-only (+a) permite añadir datos al final del archivo pero no modificar ni eliminar el contenido existente. Es ideal para archivos de log donde se quiere garantizar que los registros no puedan ser alterados.
P: Un administrador ejecuta chmod 750 archivo.txt en un archivo que tiene ACLs. ¿Que efecto tiene esto en las ACLs?
R: b). La mascara (mask) de las ACLs se modifica al valor del grupo (5 = r-x) Cuando se usa chmod en un archivo con ACLs, los permisos del grupo que muestra ls -l corresponden en realidad a la mascara de las ACLs. Por lo tanto, chmod 750 establece la mascara a r-x, limitando los permisos efectivos de todas las entradas ACL de usuarios y grupos adicionales.
P: Que comando copia las ACLs de archivo.txt a destino.txt preservando todas las entradas?
R: b) Correcta. La combinacion getfacl | setfacl —set-file=- permite volcar todas las ACLs de un archivo y aplicarlas exactamente al destino. cp -p preserva permisos basicos pero no ACLs extendidas.
P: Un archivo tiene permisos -rwsr-xr-x. Que indica la s en la posicion del bit de ejecucion del propietario?
R: b) Correcta. La s en la posicion de ejecucion del propietario indica que el bit SUID (Set User ID) esta activo. Cuando se ejecuta, el proceso adquiere los privilegios del propietario, no del usuario que lo ejecuta.
P: Con umask 0077, que permisos tendran los nuevos directorios creados?
R: b) Correcta. Los directorios se crean con permisos base 777. Restando la umask: 777 - 077 = 700 (drwx------). Solo el propietario tiene acceso completo, los demas no tienen ningun permiso.
P: Que atributo de chattr sincroniza las escrituras al disco de forma sincrona, similar a abrir archivos con O_SYNC?
R: b) Correcta. El atributo +S (Synchronous) hace que todas las escrituras en el archivo se realicen de forma sincrona, equivalente a montar el sistema de archivos con la opcion sync. chattr +s es borrado seguro.
P: Que comando hace un backup de todas las ACLs de /datos/ de forma recursiva a un archivo?
R: b) Correcta. getfacl -R genera la salida de ACLs de todos los archivos y directorios de forma recursiva. El resultado puede restaurarse con setfacl —restore=backup_acls.txt.
P: Que comando busca todos los archivos con el bit SUID activo en el sistema?
R: b) Correcta. find / -perm -4000 -type f busca archivos donde el bit SUID (4000) esta activo. El prefijo - significa que el bit debe estar presente entre los permisos del archivo.
P: Que resultado tiene setfacl -k /datos/proyecto/ sobre el directorio?
R: b) Correcta. La opcion -k elimina exclusivamente las ACLs por defecto (default ACLs) del directorio, manteniendo intactas las ACLs de acceso regulares. Para eliminar todas las ACLs se usa -b.
P: Cual es la forma correcta de establecer la umask de forma persistente para todos los usuarios del sistema en Ubuntu/Debian?
R: d) Correcta. En sistemas modernos existen multiples metodos: /etc/profile o archivos en /etc/profile.d/ para shells interactivos, y el modulo pam_umask.so para todas las sesiones PAM incluyendo no interactivas.
P: Un directorio tiene permisos 2770 y grupo equipo. Un usuario del grupo equipo crea un archivo nuevo. Que grupo tendra el archivo?
R: b) Correcta. El bit SGID (2000) en un directorio hace que todos los archivos y subdirectorios creados hereden el grupo del directorio (equipo), sin importar el grupo primario del usuario que los crea. Fundamental para directorios compartidos.
P: Que indica lsattr si muestra ----i--------e— para un archivo?
R: b) Correcta. La letra i indica que el archivo es inmutable: no puede modificarse, eliminarse ni renombrarse. La e indica que usa extents del sistema de archivos ext4, que es el comportamiento por defecto en ext4.
P: Que comando establece una ACL por defecto para que el grupo auditores tenga permiso de lectura en todos los nuevos archivos de /datos/reportes/?
R: setfacl -d -m g:auditores:r /datos/reportes/. La opcion -d establece ACL por defecto en el directorio. La opcion -m modifica o agrega la entrada. Los nuevos archivos y subdirectorios creados en /datos/reportes/ heredaran automaticamente esta ACL.
P: Que comando muestra todas las ACLs de los archivos en /var/www/ de forma recursiva?
R: getfacl -R /var/www/. getfacl -R recorre recursivamente el directorio y muestra las ACLs de cada archivo y subdirectorio. La salida puede redirigirse para hacer backup: getfacl -R /var/www/ > backup.acl
P: Que comando elimina el atributo inmutable del archivo /etc/resolv.conf para poder modificarlo?
R: chattr -i /etc/resolv.conf. chattr -i elimina el atributo inmutable (i). Sin este atributo el archivo puede modificarse normalmente. Para volverlo inmutable se usa chattr +i. Solo root puede modificar estos atributos.
P: Que comando de find localiza todos los archivos con el bit SGID activo en el sistema?
R: find / -perm -2000 -type f. find con -perm -2000 busca archivos donde el bit SGID (2000) esta activo. Para directorios se usa -type d. El prefijo - significa que el bit debe estar presente en los permisos.
P: Que comando restaura las ACLs guardadas en el archivo backup_acls.txt?
R: setfacl —restore=backup_acls.txt. setfacl —restore lee el formato de salida de getfacl -R y aplica todas las ACLs al sistema de archivos. Es la forma estandar de restaurar ACLs tras un backup.
P: Tip de examen: Domina los permisos especiales (SUID/SGID/sticky), las ACLs POSIX (getfacl/setfa…
R: Domina los permisos especiales (SUID/SGID/sticky), las ACLs POSIX (getfacl/setfacl) incluyendo ACLs por defecto y mascara, y los atributos extendidos con chattr.
P: Tip de examen: SUID en archivos ejecutables es un riesgo de seguridad potencial. Audita regular…
R: SUID en archivos ejecutables es un riesgo de seguridad potencial. Audita regularmente archivos con SUID/SGID. SUID no funciona en scripts interpretados por seguridad.
P: Tip de examen: chmod en un archivo con ACLs modifica la mascara, no los permisos del grupo pr…
R: chmod en un archivo con ACLs modifica la mascara, no los permisos del grupo propietario. Un + al final de ls -l indica presencia de ACLs.
P: Tip de examen: chattr +i hace un archivo completamente inmutable: ni siquiera root puede modi…
R: chattr +i hace un archivo completamente inmutable: ni siquiera root puede modificarlo o eliminarlo sin quitar primero el atributo. Esto es muy util para proteger archivos criticos como /etc/passwd.
P: Que hace el comando i?
R: No se puede modificar, eliminar, renombrar ni enlazar
P: Que hace el comando a?
R: Solo se puede añadir contenido (ideal para logs)
P: Que hace el comando s?
R: Los bloques se sobreescriben al eliminar
P: Que hace el comando u?
R: El contenido se guarda al eliminar (permite recuperar)
P: Que es/son umask?
R: La umask define los permisos que se eliminan al crear nuevos archivos y directorios.
P: Que es/son ACLs POSIX (Listas de Control de Acceso)?
R: Las ACLs POSIX extienden el modelo de permisos tradicional permitiendo definir permisos para usuarios y grupos adicionales.
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: