29-09-2024, 05:38 AM
Al principio de este tutorial he explicado como configurar una carpeta compartida con características de inmutabilidad mediante un sistema que no será tan perfecto como el que utiliza QTS Hero pero que nos puede valer, lo que voy a explicar a continuación es una manera más avanzada de conseguir lo mismo distinta de la anterior con el añadido de que va a ser una inmutabilidad mucho más segura. El proceso difiere del anterior en algunas cosas y va a tener unos resultados treméndamente curiosos:
En el apartado Carpetas compartidas del Panel de Control del nas vamos a crear una nueva carpeta compartida que para el ejemplo va a tener de nombre prueba:
A diferencia de la carpeta de prueba que se creó al principio de este tutorial en este caso la vamos a crear con los permisos por defecto como si creáramos cualquier otra nueva carpeta compartida en el nas:
Creada esa carpeta compartida de nombre prueba abrimos File Station y comprobamos que está creada, para el ejemplo le meto dentro de esa carpeta prueba un archivo de texto de nombre prueba.txt
A partir de aquí viene la parte tikismikis de la explicación, lo siguiente que vamos a hacer es activar momentáneamente la cuenta admin del nas y activamos también el acceso por SSH al nas. Hecho esto nos conectamos por SSH al nas con la cuenta admin. Una vez conectado me dirijo al volumen de mi nas en el que está la carpeta compartida de nombre prueba que he creado antes, en mi caso es /share/CACHEDEV3_DATA así que pongo y ejecuto en el terminal el comando:
cd /share/CACHEDEV3_DATA/
Para darle inmutabilidad a la carpeta compartida prueba vamos a utilizar el comando chattr y este comando tiene diversos parámetros de utilización, para aprender sobre esto Google es vuestro amigo. En este caso lo vamos a utilizar en modo recursivo para que a la misma vez que le damos inmutabilidad a la carpeta prueba se la demos también al archivo prueba.txt que está dentro. Lo haremos con el siguiente comando:
sudo chattr -R +i prueba/
Hecho esto podemos comprobar los permisos de las carpetas compartidas que tengamos en ese volumen incluyendo lógicamente la carpeta compartida prueba que hemos creado antes, lo haremos ejecutando el comando lsattr
Como digo en la imagen que acabo de poner se ven las carpetas compartidas que tengo en el volumen de mi nas incluyendo la carpeta prueba y a la izquierda de cada una de ellas se ven unas líneas y cómo se puede también ver la carpeta prueba tiene una i ( inmutabilidad ).
La carpeta lost+found y la carpeta aquota.user NO LAS HE CREADO YO sino que son carpetas ocultas de QTS y es curioso porque esta última carpeta también tiene una i de inmutabilidad junto al atributo A...... un dia de estos lo investigaré, en fin, seguimos ( a partir de aquí vienen muchas curiosidades ):
Si comprobamos los permisos del archivo prueba.txt que está dentro de la carpeta compartida prueba que creamos al principio podemos ver que son normales:
Lo siguiente que vamos a hacer es eliminar ese archivo prueba.txt
Y el resultado es que NO LO PODEMOS ELIMINAR, ni lógicamente tampoco MODIFICAR:
Hago un breve resumen de lo que tenemos conseguido hasta ahora, hemos creado una nueva carpeta compartida llamada prueba y le hemos metido dentro un archivo de texto de nombre prueba.txt, a continuación a través de terminal con la cuenta admin le hemos dado inmutabilidad de manera recursiva a esa carpeta prueba para que la inmutabilidad no sólo sea efectiva en esa carpeta sino también en el archivo de texto prueba que tiene dentro.
Como acabo de explicar ese archivo prueba.txt no se puede eliminar así que la siguiente comprobación es ver si podemos eliminar la carpeta compartida prueba:
Y el resultado es que se puede eliminar sin ningún problema:
Después de leer esto muchos os preguntaréis dónde está la diferencia o la ganancia de seguridad del sistema que estoy explicando ahora respecto al que expliqué al inicio de este tutorial. La diferencia consiste en que a pesar de haber eliminado la carpeta compartida prueba y su contenido desde el Panel de Control del nas quedando lógicamente también desaparecida de File Station reálmente NO LA HEMOS ELIMINADO y no se ha eliminado porque es inmutable y no se puede eliminar.
Para comprobarlo vamos a acceder al nas por SSH con Filezilla o similares, en mi caso lo haré con Termius, lo podemos hacer conectándonos con la cuenta " normal " del nas sin embargo para algo que voy a explicar a continuación voy a acceder con la cuenta admin, al hacerlo la carpeta compartida prueba sigue estando dónde estaba:
Vuelvo a repetir que he accedido mediante la cuenta admin así que el siguiente paso es comprobar si puedo eliminar esa carpeta compartida prueba con permisos de administrador:
El resultado es que NO LA PUEDO ELIMINAR
Hago un resumen de la situación actual, una vez dada propiedades de inmutabilidad a la carpeta compartida prueba y a su contenido ese contenido no se puede modificar ni eliminar desde File Station, tampoco se puede eliminar accediendo por SSH con la cuenta normal del nas pero tampoco se puede con la cuenta admin con todo lo que conlleva en términos de seguridad en caso de un ransomware. Por alguna razón extraña QTS permite " eliminar " la carpeta compartida prueba y su contenido desde el apartado correspondiente del Panel de Control del nas pero como acabo de explicar esa eliminación es sólo cosmética y visual ya que la carpeta reálmente NO SE PUEDE ELIMINAR ni lógicamente modificar al igual que el contenido que tenga.
Para poder modificar el contenido de la carpeta compartida prueba o diréctamente eliminarla tenemos que retirarle los permisos de inmutabilidad que le dimos al principio, Desde un terminal accediendo al igual que hicimos al principio con la cuenta admin ejecutaremos el siguiente comando:
sudo chattr -R -i prueba/
Como la carpeta compartida prueba ya " estaba eliminada " desde el Panel de Control del nas para poder eliminarla definitívamente tendremos que acceder al nas por SSH con Filezilla o similares:
Al haberle quitado los permisos de inmutabilidad en este caso si se nos permite su eliminación:
En el apartado Carpetas compartidas del Panel de Control del nas vamos a crear una nueva carpeta compartida que para el ejemplo va a tener de nombre prueba:
A diferencia de la carpeta de prueba que se creó al principio de este tutorial en este caso la vamos a crear con los permisos por defecto como si creáramos cualquier otra nueva carpeta compartida en el nas:
Creada esa carpeta compartida de nombre prueba abrimos File Station y comprobamos que está creada, para el ejemplo le meto dentro de esa carpeta prueba un archivo de texto de nombre prueba.txt
A partir de aquí viene la parte tikismikis de la explicación, lo siguiente que vamos a hacer es activar momentáneamente la cuenta admin del nas y activamos también el acceso por SSH al nas. Hecho esto nos conectamos por SSH al nas con la cuenta admin. Una vez conectado me dirijo al volumen de mi nas en el que está la carpeta compartida de nombre prueba que he creado antes, en mi caso es /share/CACHEDEV3_DATA así que pongo y ejecuto en el terminal el comando:
cd /share/CACHEDEV3_DATA/
Para darle inmutabilidad a la carpeta compartida prueba vamos a utilizar el comando chattr y este comando tiene diversos parámetros de utilización, para aprender sobre esto Google es vuestro amigo. En este caso lo vamos a utilizar en modo recursivo para que a la misma vez que le damos inmutabilidad a la carpeta prueba se la demos también al archivo prueba.txt que está dentro. Lo haremos con el siguiente comando:
sudo chattr -R +i prueba/
Hecho esto podemos comprobar los permisos de las carpetas compartidas que tengamos en ese volumen incluyendo lógicamente la carpeta compartida prueba que hemos creado antes, lo haremos ejecutando el comando lsattr
Como digo en la imagen que acabo de poner se ven las carpetas compartidas que tengo en el volumen de mi nas incluyendo la carpeta prueba y a la izquierda de cada una de ellas se ven unas líneas y cómo se puede también ver la carpeta prueba tiene una i ( inmutabilidad ).
La carpeta lost+found y la carpeta aquota.user NO LAS HE CREADO YO sino que son carpetas ocultas de QTS y es curioso porque esta última carpeta también tiene una i de inmutabilidad junto al atributo A...... un dia de estos lo investigaré, en fin, seguimos ( a partir de aquí vienen muchas curiosidades ):
Si comprobamos los permisos del archivo prueba.txt que está dentro de la carpeta compartida prueba que creamos al principio podemos ver que son normales:
Lo siguiente que vamos a hacer es eliminar ese archivo prueba.txt
Y el resultado es que NO LO PODEMOS ELIMINAR, ni lógicamente tampoco MODIFICAR:
Hago un breve resumen de lo que tenemos conseguido hasta ahora, hemos creado una nueva carpeta compartida llamada prueba y le hemos metido dentro un archivo de texto de nombre prueba.txt, a continuación a través de terminal con la cuenta admin le hemos dado inmutabilidad de manera recursiva a esa carpeta prueba para que la inmutabilidad no sólo sea efectiva en esa carpeta sino también en el archivo de texto prueba que tiene dentro.
Como acabo de explicar ese archivo prueba.txt no se puede eliminar así que la siguiente comprobación es ver si podemos eliminar la carpeta compartida prueba:
Y el resultado es que se puede eliminar sin ningún problema:
Después de leer esto muchos os preguntaréis dónde está la diferencia o la ganancia de seguridad del sistema que estoy explicando ahora respecto al que expliqué al inicio de este tutorial. La diferencia consiste en que a pesar de haber eliminado la carpeta compartida prueba y su contenido desde el Panel de Control del nas quedando lógicamente también desaparecida de File Station reálmente NO LA HEMOS ELIMINADO y no se ha eliminado porque es inmutable y no se puede eliminar.
Para comprobarlo vamos a acceder al nas por SSH con Filezilla o similares, en mi caso lo haré con Termius, lo podemos hacer conectándonos con la cuenta " normal " del nas sin embargo para algo que voy a explicar a continuación voy a acceder con la cuenta admin, al hacerlo la carpeta compartida prueba sigue estando dónde estaba:
Vuelvo a repetir que he accedido mediante la cuenta admin así que el siguiente paso es comprobar si puedo eliminar esa carpeta compartida prueba con permisos de administrador:
El resultado es que NO LA PUEDO ELIMINAR
Hago un resumen de la situación actual, una vez dada propiedades de inmutabilidad a la carpeta compartida prueba y a su contenido ese contenido no se puede modificar ni eliminar desde File Station, tampoco se puede eliminar accediendo por SSH con la cuenta normal del nas pero tampoco se puede con la cuenta admin con todo lo que conlleva en términos de seguridad en caso de un ransomware. Por alguna razón extraña QTS permite " eliminar " la carpeta compartida prueba y su contenido desde el apartado correspondiente del Panel de Control del nas pero como acabo de explicar esa eliminación es sólo cosmética y visual ya que la carpeta reálmente NO SE PUEDE ELIMINAR ni lógicamente modificar al igual que el contenido que tenga.
Para poder modificar el contenido de la carpeta compartida prueba o diréctamente eliminarla tenemos que retirarle los permisos de inmutabilidad que le dimos al principio, Desde un terminal accediendo al igual que hicimos al principio con la cuenta admin ejecutaremos el siguiente comando:
sudo chattr -R -i prueba/
Como la carpeta compartida prueba ya " estaba eliminada " desde el Panel de Control del nas para poder eliminarla definitívamente tendremos que acceder al nas por SSH con Filezilla o similares:
Al haberle quitado los permisos de inmutabilidad en este caso si se nos permite su eliminación:
Opnsense router
Qnap TS-264 QTS Hero
Minipc All - flash N305 Truenas Scale
Qnap TS-264 QTS Hero
Minipc All - flash N305 Truenas Scale