Auditoría de sistemas UNIX. Parte 12. Ficheros .netrc

La existencia de ficheros .netrc es una posible fuente de problemas de seguridad.

Este tipo de ficheros se emplea para gestionar conexiones remotas FTP de una manera cómoda, pero a su vez, bastante insegura, ya que este tipo de ficheros contienen los datos necesarios para poder autenticarnos de un modo automático contra el servidor FTP remoto. Los ficheros .netrc residen habitualmente en el directorio home del usuario que inicia la transmisión FTP.

Si la máquina no está comprometida no hay problema. Los problemas pueden surgir si un usuario malintencionado tiene acceso a nuestro fichero .netrc, ya que estos ficheros almacenan los datos en texto claro, con lo que en caso de compromiso, nuestras credenciales de acceso remoto FTP quedarán al descubierto.

El formato más normal de un fichero $HOME/.netrc es el siguiente

machine {host} login {usuario} password {clave}

Un ejemplo de fichero sería el siguiente:

machine ftp.sahw.com login hola password hola

Ejemplo

Lanzaremos una búsqueda que determine la existencia d eficheros .netrc, que nos llevaremos a fichero que llamaremos netrc.txt:

/usr/bin/find / -name «.netrc» -exec ls -la {} \; >>netrc.txt

En nuestro ejemplo no aparecieron ficheros .netrc (ni los empleo ni los recomiendo)

Resumen

Los ficheros $HOME/.netrc almacenan datos para realizar conexiones FTP a hosts remotos de forma automática. Dada su naturaleza, estos ficheros almacenan estos datos (host, usuario y contraseña) en texto claro, con lo que su utilización puede permitir que, ante un ataque y compromiso de la máquina, nuestras credenciales queden expuestas.

El objetivo de la auditoría es analizar si se usan o no este tipo de ficheros. En caso de utilizarse, debemos asegurarnos que los permisos de los ficheros .netrc impidan la lectura de grupo y otros, exigiendo siempre una justificación técnica del porqué del uso de este tipo de mecanismos.