Centro de Conocimiento DevOps
Centro de Conocimiento DevOps

Mejores prácticas para asegurar sistemas de archivos Linux con permisos especiales

Domine la seguridad del sistema de archivos Linux aprovechando los permisos especiales: SUID, SGID y el Sticky Bit. Esta guía explica cómo aplicar de forma segura estos modos usando notación octal para forzar el contexto de ejecución, asegurar la herencia de grupo en carpetas compartidas y prevenir la eliminación de archivos no autorizada en directorios como /tmp, proporcionando ejemplos prácticos para el endurecimiento del sistema.

39 vistas

Mejores Prácticas para Asegurar Sistemas de Archivos Linux con Permisos Especiales

Los permisos de archivos en Linux son la base de la seguridad del sistema, controlando quién puede leer, escribir y ejecutar archivos. Si bien los permisos estándar de lectura/escritura/ejecución (rwx) son fundamentales, Linux introduce bits de permisos especiales —SUID, SGID y el Sticky Bit— para gestionar el contexto de ejecución y la integridad de los recursos compartidos. Dominar estos permisos permite a los administradores otorgar capacidades elevadas específicas de forma segura, garantizando la funcionalidad necesaria y minimizando los riesgos de seguridad.

Esta guía profundiza en la aplicación práctica y las implicaciones de seguridad del Set User ID (SUID), el Set Group ID (SGID) y el Sticky Bit. Comprender cuándo y cómo implementar estas características es crucial para mantener la eficiencia operativa sin comprometer la postura de seguridad general de su entorno Linux.

Repaso de Comprensión de Permisos Estándar

Antes de explorar los permisos especiales, es esencial recordar la notación de triplete estándar (rwx para propietario, grupo y otros). Estos permisos se representan numéricamente usando valores octales (por ejemplo, 755 o 644).

  • r (Leer) = 4
  • w (Escribir) = 2
  • x (Ejecutar) = 1

Los permisos especiales modifican este comportamiento base y se representan mediante un cuarto dígito octal principal (4, 2 o 1).

Los Permisos Especiales: SUID, SGID y el Sticky Bit

Los permisos especiales añaden funcionalidad más allá del control de acceso estándar. Normalmente se indican en la salida del listado largo (ls -l) con una s o t que reemplaza la bandera x estándar.

Permiso Valor Octal Efecto
SUID (Set User ID) 4 El archivo se ejecuta con los permisos del propietario del archivo (no del usuario que lo ejecuta).
SGID (Set Group ID) 2 El archivo se ejecuta con los permisos del grupo del archivo, o los nuevos archivos heredan el ID de grupo del directorio padre.
Sticky Bit 1 Impide que los usuarios eliminen o renombren archivos propiedad de otros usuarios en un directorio compartido, incluso si tienen permiso de escritura en el directorio.

1. Set User ID (SUID)

El bit SUID es potente y potencialmente peligroso si se usa incorrectamente. Cuando se establece en un archivo ejecutable, cualquier usuario que ejecute ese archivo ejecuta el proceso con los permisos del propietario.

Caso de Uso Práctico: Utilidades que requieren privilegios de root para realizar una tarea específica, pero que no deben otorgar acceso general de root al usuario.

Ejemplo: SUID en /usr/bin/passwd

El comando /usr/bin/passwd normalmente requiere acceso de root para modificar el archivo seguro /etc/shadow. Tiene el bit SUID activado, lo que permite a un usuario estándar obtener temporalmente los privilegios del propietario (root) solo durante la ejecución de passwd para cambiar su propia contraseña.

Visualización de SUID: Observe la s en la ranura de ejecución del propietario:

ls -l /usr/bin/passwd
# Ejemplo de salida: -rwsr-xr-x 1 root root ... /usr/bin/passwd

Establecimiento de SUID: Use el valor octal 4 combinado con los permisos estándar (por ejemplo, 755 se convierte en 4755):

# Suponiendo que 'my_script' pertenece a 'appuser'
chmod 4755 /ruta/a/mi_script

Advertencia de Seguridad para SUID: Nunca establezca el bit SUID en shells de propósito general (como /bin/bash) o scripts que interpretan entrada externa, ya que esto otorga acceso root irrestricto a cualquiera que ejecute el archivo.

2. Set Group ID (SGID)

El bit SGID tiene dos funciones principales dependiendo de si se aplica a un archivo o a un directorio.

A. SGID en Archivos Ejecutables

Cuando se establece en un archivo ejecutable, el proceso se ejecuta con los permisos asociados con la propiedad de grupo del archivo, no con el grupo principal del usuario.

B. SGID en Directorios (Crucial para Entornos Compartidos)

Cuando se establece en un directorio, cualquier archivo o subdirectorio nuevo creado dentro de él hereda automáticamente la propiedad de grupo del directorio padre, en lugar del grupo principal del usuario que creó el nuevo archivo.

Caso de Uso Práctico: Carpetas de proyectos compartidas donde todos los colaboradores deben tener acceso unificado al grupo para colaborar.

Establecimiento de SGID en un Directorio: Use el valor octal 2 combinado con los permisos estándar (por ejemplo, 775 se convierte en 2775):

# Establecer la propiedad de grupo en 'developers' y habilitar SGID
chgrp developers /srv/shared_project
chmod 2775 /srv/shared_project

3. El Sticky Bit

El Sticky Bit (o Atributo de Guardar Texto) se utiliza casi exclusivamente en directorios compartidos para controlar la eliminación de archivos.

Cuando el Sticky Bit está activado en un directorio, solo el propietario de un archivo dentro de ese directorio, o el usuario root, puede eliminar o renombrar ese archivo, incluso si el directorio en sí permite el acceso de escritura para 'otros' (o+w).

Caso de Uso Práctico: Directorios compartidos públicos como /tmp o carpetas de carga departamentales donde los usuarios solo deben poder administrar los archivos que crearon.

Ejemplo: El Directorio /tmp

El directorio /tmp a menudo tiene permisos como 1777. El 1 indica que el Sticky Bit está activo.

ls -ld /tmp
# Ejemplo de salida: drwxrwxrwt 15 root root 4096 Mar 10 11:30 /tmp

La t al final confirma que el sticky bit está activado. Sin él, cualquier usuario podría eliminar archivos creados por otros usuarios en /tmp.

Establecimiento del Sticky Bit: Use el valor octal 1 combinado con los permisos estándar (por ejemplo, 777 se convierte en 1777):

chmod 1777 /var/public_uploads

Gestión Integral: Combinación de Permisos Especiales

Los permisos especiales a menudo se combinan. El cuarto dígito principal es la suma de los bits especiales deseados (4+2+1 = 7).

Permisos Deseados Valor Octal
Estándar rwxr-xr-x (755) 755
SUID + rwxr-xr-x 4755
SGID + rwxr-xr-x 2755
Sticky Bit + rwxrwxrwx 1777
SUID + SGID + Sticky Bit + rwx (Raramente necesario) 7777

Ejemplo de Combinación de SGID y Sticky Bit para Carpetas Compartidas:

Para crear un directorio de colaboración seguro y compartido donde todos los usuarios formen parte del grupo 'team', los nuevos archivos hereden el grupo 'team' y los usuarios no puedan eliminar los archivos de otros:

  1. Establecer la propiedad de grupo: chgrp team /data/projectX
  2. Aplicar SGID (2) + Estándar rwx (7) + Sticky Bit (1) $\rightarrow 2+1 = 3$ para los bits especiales.
    • Usando la suma explícita: SGID (2) + Sticky Bit (1) = 3. Permisos estándar 775.
    • Comando total: chmod 3775 /data/projectX

Al ver esto: drwxrwxrw t (o drwxrwsrw t si el bit de grupo se usó para ejecución también).

Mejores Prácticas para la Seguridad de Permisos Especiales

Debido a los privilegios elevados que otorgan SUID y SGID, deben gestionarse con extrema precaución.

  1. Limitar el Alcance de SUID: Solo establezca SUID en ejecutables binarios compilados que sean necesarios para operaciones estándar (como passwd, ping). Nunca aplique SUID a scripts interpretados (Shell, Python, Perl) a menos que estén envueltos en un ejecutable contenedor seguro que valide la entrada.
  2. Auditar Regularmente: Escanee periódicamente el sistema de archivos en busca de archivos SUID/SGID inusuales usando el comando find:
    bash # Buscar todos los archivos con SUID activado find / -perm /4000 2>/dev/null # Buscar todos los archivos con SGID activado find / -perm /2000 2>/dev/null
  3. Usar SGID para Consistencia de Grupo: Prefiera SGID sobre la gestión manual de la propiedad de grupo de archivos en estructuras de datos compartidas; automatiza la herencia de grupo.
  4. Sticky Bit para Áreas Públicas Escribibles: El Sticky Bit es esencial para cualquier directorio destinado al uso general de los usuarios donde se deba restringir la eliminación por parte de no propietarios (por ejemplo, /tmp, /var/tmp).

Al emplear SUID con precaución para tareas elevadas requeridas, SGID para una gestión de grupo consistente y el Sticky Bit para la integridad de directorios compartidos, los administradores pueden construir un entorno de sistema de archivos Linux altamente funcional pero robustamente seguro.