Permisos de ficheros Nobody en Linux [SOLUCIONADO]

por

Manejo cuidadoso de los permisos en sistemas Linux

En sistemas Linux y otros sistemas basados en Unix, la gestión de los permisos de archivos es un aspecto fundamental para garantizar la seguridad y el adecuado funcionamiento del sistema. Los permisos se utilizan para definir quién puede leer, escribir o ejecutar un archivo o directorio. En el contexto de servidores y aplicaciones web, se suele encontrar un usuario especial llamado nobody. Este usuario es importante porque es comúnmente utilizado por diversos servicios que no necesitan privilegios de administrador para ejecutarse, limitando así el potencial daño en caso de un fallo de seguridad.

La importancia de la configuración de la entidad nobody en permisos de archivos

La configuración de privilegios para el usuario nobody frecuentemente implica un cuidado especial. Un error común puede hacer al sistema vulnerable a ataques o, por el contrario, limitar demasiado el acceso y afectar la funcionalidad de servicios que utilizan este usuario. Esto último podría resultar en la parálisis de procesos clave dentro del entorno del servidor.

Una comprensión completa de los permisos en Linux se desgrana en tres ámbitos:

  • El propietario del archivo (user)
  • El grupo al que pertenece el archivo (group)
  • Los demás usuarios del sistema (others)

Cuando ajustamos los permisos de archivos para nobody, nuestra atención generalmente se sitúa en los permisos para “otros” ya que, por defecto, es allí donde nobody suele tener sus capacidades limitadas o asignadas.

Entendiendo los permisos básicos de Linux

Para establecer un terreno común antes de sumergirnos en los permisos para nobody, es conveniente repasar los arrays de permisos básicos:

  • Lectura (r): Permite visualizar el contenido de los archivos.
  • Escritura (w): Ofrece la capacidad de modificar o eliminar archivos.
  • Ejecución (x): Concede el permiso para ejecutar archivos como programas o scripts.

Los permisos se asignan mediante una combinación numérica que representa diferente acceso para cada grupo. Esto se ajusta mediante el comando chmod, seguido del conjunto de números y luego el nombre del archivo o directorio.

Aplicación práctica: Ajustar permisos de nobody mediante chmod

Supongamos que necesitamos otorgar permisos de lectura y ejecución a los archivos dentro del directorio /var/www/html para que el usuario nobody, utilizado por el servidor web, pueda servir el contenido sin poseer permisos de escritura, que podrían ser potencialmente peligrosos. Utilizaríamos el siguiente comando:

drwxr-x---

En este caso, el conjunto de permisos 750 otorga al propietario (en este caso, probablemente un superusuario o el usuario bajo el que se ejecuta el servidor) todos los permisos, al grupo de usuarios relacionado únicamente lectura y ejecución, y a los demás usuarios, ninguna capacidad. Debido a que nobody está clasificado dentro de “otros”, no tendría acceso alguno.

Para otorgar los permisos necesarios a nobody sin dar acceso de escritura, el comando sería:

chmod 755 /var/www/html

Con este cambio, otorgamos permisos de lectura y ejecución a nobody, suficientes para que el servidor web pueda leer los archivos y servirlos a los clientes.

Cuidados específicos y riesgos al trabajar con nobody

El usuario nobody al carecer de un control estricto, puede volverse una puerta de entrada para accesos no autorizados si los permisos no se configuran correctamente. Es imperativo asegurarse de que la entidad nobody solo tenga acceso a los archivos y directorios que le son estríctamente necesarios para su funcionamiento.

Además, se desaconseja otorgar privilegios de escritura a nobody, salvo que sea estrictamente necesario, y siempre bajo una planeación cuidadosa. Estos riesgos pueden mitigarse asegurándose de que los scripts y aplicaciones ejecutados como nobody sean mantenidos al día y basados en código confiable y auditado.

Pasos para revisar y modificar permisos existentes

Para revisar los permisos de un archivo o directorio en particular, se puede usar el comando ls -l, que nos proporcionará la lista de archivos junto con su configuración de permisos. A continuación, vemos un ejemplo donde chequeamos el directorio /var/www:

ls -l /var/www

Como resultado, obtendríamos un listado que nos indica los permisos de cada archivo o subdirectorio dentro de /var/www, discriminados por propietario, grupo y otros.

En caso de tener que modificar dichos permisos, usaríamos chmod, posiblemente combinado con chown si necesitamos alterar también el propietario o grupo pel cual se rige el archivo o directorio.

Tareas de automatización y scripts seguros para la gestión de permisos noiody

Para simplificar la gestión de permisos, sobre todo en servidores con gran cantidad de archivos que requieren una configuración especial, es común utilizar scripts de shell que automatizan esta tarea. A continuación, se presenta un pequeño ejemplo de cómo sería un script para cambiar los permisos de los archivos en un directorio a 755, asegurando así que nobody tenga solo permisos de lectura y ejecución:

find /path/to/your/directory -type f -exec chmod 644 {} ;
find /path/to/your/directory -type d -exec chmod 755 {} ;

Este script utiliza el comando find para identificar archivos y directorios dentro de una ubicación específica y luego aplica el comando chmod para cambiar los permisos. Los archivos reciben un 644 (lectura y escritura para el propietario, lectura para grupo y otros), mientras que los directorios reciben 755, lo que es un modelo de permisos razonable y seguro para muchos escenarios.

Conclusiones y mejores prácticas

La gestión de permisos asociados a la entidad nobody debe hacerse con sumo cuidado para no exponer al sistema a riesgos innecesarios. Utilizar datos verificados, mantener los servicios actualizados y realizar auditorías periódicas de permisos son prácticas recomendadas. Asimismo, es aconsejable la formación continua en el manejo de sistemas Unix y Linux para cualquier profesional que trabaje en el mantenimiento y la seguridad de servidores.

Implementar rutinas de verificación automática de la configuración de permisos y tener procesos de respuesta a incidentes también ayuda a mantener un entorno robusto frente a las amenazas digitales.

Los permisos en Linux son una parte integral de la seguridad del sistema. A través de los comandos y procedimientos expuestos, se puede garantizar un nivel adecuado de protección y funcionalidad, haciendo del manejo de permisos una tarea accesible y controlable, incluso en los entornos más complejos.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad