UNIX (SOLARIS,

AIX, HP-UX)

Juan Pablo Hernndez Daz

Fabio Andrs Lizarazo Ortiz
Joseph Fernando Villamizar Vargas
Andrs Antonio Moreno Castro

Los orgenes del sistema UNIX se remontan al desarrollo de un proyecto iniciado en

1968. Este proyecto fue realizado por General Electric, AT&T Bell i del MIT, llevaron a
cabo el desarrollo de un sistema operativo con nuevos conceptos como la multitarea, la
gestin de archivos o la interaccin con el usuario. El resultado die estas investigaciones
se bautiz como MULTICS. El proyecto result ser demasiado ambicioso, por lo que no
lleg a buen fin y termin abandonndose.
Posteriormente la idea de este proyecto se vuelve a retomar y conduce al gran
desarrollo en 1969 del sistema operativo UNIX. Entre los investigadores destacaban Ken
Thompson y Dennis Ritchie. En principio, este sistema operativo recibi el nombre de
UNICS, aunque un ao despus pasa a llamarse UNIX, como se conoce hoy en da.

Es un sistema operativo de tipo Unix desarrollado desde 1992 inicialmente por Sun
Microsystems y actualmente por Oracle Corporation como sucesor de SunOS. Es un
sistema certificado oficialmente como versin de Unix. Funciona en arquitecturas
SPARC y x86 para servidores y estaciones de trabajo.

VERSIONES
VERSION
DEL
SOLARIS
Solaris 11

Solaris 10

Solaris 9

Solaris 8

Solaris 7

VERSION
DEL
SunOS
SunOS 5.11

FECHA

9 de noviembre,2011

DESCRIPCION

Nuevas caractersticas y realce (comparado a Solaris

10) en empaquetado de software, virtualizacin de
red, virtualizacin de servidor, almacenamiento,
seguridad y soporte de hardware.
Incluye
soporte
AMD64/EM64T, Dtrace, Solaris
Containers, Service Management Facility (SMF) para
reemplazar al sistema init.d,NFSv4. Modelo de
seguridad basado en el menor privilegio.

SunOS 5.10

31 de enero,2005

SunOS 5.9

iPlanet Directory Server, Resource Manager, Solaris

28 de mayo, 2002(SPARC) Volume Manager. Aadida compatibilidad con Linux.
10 de enero,2003 (x86)
Eliminado OpenWindows. Eliminado soporte para
sun4d. La actualizacin ms reciente es Solaris 9 9/05.

SunOS 5.8

Febrero de 2000

Incluye Multipath
I/O, IPv6 y IPsec.
Introduce RBAC (control de acceso basado en roles).
Soporte para sun4c eliminado. La actualizacin ms
reciente es Solaris 8 2/04.

Noviembre de 1998

La primera versin de 64 bits para plataforma

UltraSPARC. Aadido soporte nativo para registro
de metadatos en el sistema de archivos (UFS jogging).

SunOS 5.7

VERSION
DEL
SOLARIS
Solaris 2.6

VERSION
DEL
SunOS
SunOS 5.6

FECHA

DESCRIPCION

Julio de 1997

Incluye protocolo Kerberos, PAM, TrueType, WebNFS,

y soporte de archivos grandes.

Solaris 2.5.1

SunOS 5.5.1

Mayo de 1996

sta fue la primera y nica versin que soport la

plataforma PowerPC. Tambin se aadi soporte Ultra
Enterprise, y los identificadores de usuario (uid_t) se
expandieron a 32 bits.

Solaris 2.5

SunOS 5.5

Noviembre de1995

Primera versin en soportar UltraSPARC e incluir

CDE, NFSv3 y NFS/TCP.

Solaris 2.4

SunOS 5.4

Noviembre de1994

Primera versin unificada SPARC/x86. Incluye soporte

de ejecucin OSF/ Motif.

Solaris 2.3

SunOS 5.3

Noviembre de1993

OpenWindows 3.3 cambia de NeWS a Display

PostScript y elimina soporte de SunView.
Esta versin fue slo para SPARC.
Primera en soportar la arquitectura sun4d. Esta versin
fue slo para SPARC.

Solaris 2.2

SunOS 5.2

Mayo de 1993

Solaris 2.1

SunOS 5.1

Diciembre de1992 (SPARC Soporte para arquitectura Sun-4 y sun4m. Primera

),Mayo de 1993(x86)
versin para Solaris x86.

Solaris 2.0

SunOS 5.0

Junio de 1992

Primera versin preliminar, soporte solamente para la

arquitectura sun4c.

(Advanced Interactive eXecutive) es un sistema operativo UNIX System V propiedad de IBM.

o a "Advanced Interactive eXecutive. Esta familia surge por el licenciamiento de UNIX
System III a IBM
AIX corre en los servidores IBM eServers pSeries, utilizando procesadores de la familia IBM
POWER de 32 y 64 bits.
Algunas de las caractersticas nicas de AIX incluyen el Object Data Manager (ODM, una
base de datos de informacin del sistema). La integracin de AIX del "Logical Volume
Management" (administrador de volumen lgico) dentro del ncleo est siendo incluido
gradualmente a varios sistemas operativos libres similares a UNIX.

VERSIONES
Han existido distintas versiones de AIX a lo largo del tiempo; algunas han sido ya abandonadas.
AIX 7.1, marzo de 2012
AIX 6.1, noviembre de 2007
Implementacin de WPAR(virtualizacin a Nivel Sistema operativo)
Live Aplication Mobility
Live Partition Mobility(Capacidad de mover un S.O. completo de un Servidor a otro por la red
sin apagarlo, transparente para las aplicaciones y usuarios)
AIX 5L 5.3, agosto de 2004
Soporte para NFS Versin 4
Advanced Accounting
SCSI Virtual
Ethernet Virtual
Soporte para Simultaneous multithreading (SMT)
Soporte para Micro-Particionamiento
Soporte para cuota en JFS2
Soporte para compactacin del sistema de archivos JFS2
AIX 5L 5.2, octubre de 2002
La versin mnima requerida para el procesador POWER5
Soporte para discos MPIO Fibre Channel
iSCSI iniciador de software
Soporte para LPAR dinmico
Permite reducir el tamao de los file systems

VERSIONES
AIX 5L 5.1, mayo de 2001
La versin mnima requerida para el procesador POWER4 y la ltima en soportar arquitectura de Micro
canal.
Introduccin de ncleo de 64-bit, instalado pero no activado por defecto.
JFS2
Soporte para LPAR estticos
La "L" significa afinidad con Linux
Trusted Computing Base (TCB)
AIX 4.3.3, septiembre de 1999
Se agreg funcionalidad de Respaldo online
Administracin de Carga de Trabajo "Workload Management ( WLM )"
AIX 4.3.2, octubre de 1998
AIX 4.3.1, abril de 1998
AIX 4.3, octubre de 1997
Soporte para arquitectura de procesadores de 64bits.
AIX 4.2.1, abril de 1997
Soporte para NFS Versin 3
AIX 4.2, mayo de 1996
AIX 4.1.5, agosto de 1996
AIX 4.1.4, octubre de 1995
AIX 4.1.3, julio de 1995
AIX 4.1.1, octubre de 1994
AIX 4.1, agosto de 1994
AIX v4, 1994 AIX v3.2 1992
AIX v3.1
Introduccin del sistema de archivos Journaled File System (JFS)
AIX v3, 1990
AIX v2
AIX v1, 1986

Es la versin de Unix desarrollada y mantenida por Hewlett-Packard desde 1983,

ejecutable tpicamente sobre procesadores HP PA RISC y en sus ltimas versiones sobre
Intel Itanium (arquitectura Intel de 64 bits); a pesar de estar basada ampliamente en System
V incorpora importantes caractersticas BSD.
HP-UX es, como la mayor parte de Unix comerciales, un entorno de trabajo flexible, potente
y estable, que soporta un abanico de aplicaciones que van desde simples editores de texto a
complicados programas de diseo grfico o clculo cientfico, pasando por sistemas de
control industrial que incluyen planificaciones de tiempo real.
Durante los ltimos aos Hewlett-Packard, como muchos otros fabricantes, parece haberse
interesado bastante por la seguridad en general, y en concreto por los sistemas de
proteccin para sus plataformas; prueba de ello es la gama de productos relacionados con
este campo desarrollados para HP-UX, como el sistema de deteccin de intrusos IDS/9000
para HP-UX 11.x corriendo sobre mquinas HP-9000 o la utilidad Security Patch Check,
similar al PatchDiag de Sun Microsystems. Tambin es importante destacar las grandes
mejoras en cuanto a seguridad del sistema se refiere entre HP-UX 9.x, HP-UX 10.x y muy
especialmente HP-UX 11.x.

VERSIONES
Como todo Sistema Operativo, HP-UX ha tenido varias modificaciones y fue evolucionando
con distintas versiones a lo largo del tiempo.
VERSIN
PLATAFORMA
FECHA DE
FECHA DE FIN
RELEASE
DE SOPORTE
HP-UX 1.0

PC Integral HP

1984

HP-UX 2.0

HP 9000 Serie 800

1987

HP-UX 3.X

HP 9000 Series 600/800

1988

HP-UX 5.0

PC Integral HP

1985

HP-UX 6,X

HP 9000 Series 300

1988

HP-UX 7,X

HP 9000 Series
300/400/600/700/800
HP 9000 Series 300/400
600/700/800
HP 9000 Series
600/800/300/400/700
HP 9000
HP 9000
HP 9000

1990

HP-UX 8,X
HP-UX 9,X
HP-UX 10.20
HP-UX 11.00
HP-UX 11iv1
HP-UX 11iv2
HP-UX 11iv3

HP 9000 & Integrity

HP 9000 & Integrity

enero de 1991
julio de 1992
Agosto 1996
Noviembre 1997
Diciembre 2000
Octubre 2003

Junio 2003
Diciembre 2006
Diciembre 2013
Diciembre 2013

Febrero 2007

Diciembre 2020

VULNERABILIDADES UNIX
1. BIND DOMAIN NAME SYSTEM- SISTEMA DE NOMBRES DE DOMINIO EN INTERNET
BIND es el software estndar de facto para actuar como servidor de nombres de dominio,
un servicio esencial para el correcto funcionamiento de la red, ya que se encarga de la
conversin de los nombres de dominio a sus correspondientes direcciones IP.
Determinadas versiones de BIND son vulnerables a ataques que pueden ser utilizados por
un atacante remoto para comprometer los sistemas vulnerables. Adicionalmente, una mala
configuracin de BIND puede revelar informacin sensible sobre la configuracin de la red.
Es importante verificar que los sistemas que ejecuten BIND utilicen la versin ms reciente,
incluso si esto supone abandonar la versin distribuida por el fabricante del sistema
operativo e instalar la versin del ISC a partir de su cdigo fuente.
2. ABRIR SEGURIDAD DE LA CAPA DE TRANSPORTE (SSL)
En los ltimos meses se han detectado diversas vulnerabilidades en la biblioteca OpenSSL
que afectan a un gran nmero de productos que hacen uso de la misma: Apache, CUPS,
Curl,
OpenLDAP,
s-tunnel,
Sendmail
y
muchos
otros.
Es importante verificar que se est utilizando la versin ms reciente de OpenSSL y todos
los productos que utilizan OpenSSL para el cifrado de la informacin utilicen esta versin
ms moderna.

3. LLAMADA A PROCEDIMIENTO REMOTO (RPC)

Las llamadas a procedimiento remoto (RPCs) hacen posible que programas que se
encuentran ejecutndose en un sistema ejecuten a su vez otros programas en un segundo
sistema. Este tipo se servicios son ampliamente utilizados para acceder a servicios de red
tales como el compartir archivos a travs de NFS o NIS. Un gran nmero de
vulnerabilidades causadas por defectos en los RPC han sido activamente explotadas.
Existen evidencias de que la mayor parte de los ataques distribuidos de denegacin de
servicio efectuados durante 1999 y principios del 2000 fueron lanzados desde sistemas que
haban sido comprometidos debido a vulnerabilidades en los RPC.
4. SERVIDOR WEB APACHE
Apache es muy popular y es ampliamente utilizado. Algunos administradores que se ven
golpeados con hacks Apache incluso pueden no ser conscientes de que es en sus sistemas
porque es a menudo parte de la instalacin por defecto. Esto parecera una obviedad, pero
si usted no necesita el servidor Apache, no ejecutarlo en su sistema. Si necesita ejecutar
Apache, hay cosas que usted puede hacer para reducir el riesgo, incluso si no se puede
parchear que cada vez que una nueva vulnerabilidad es descubierta:
1) No haga funcionar Apache como root.
2) Desactive cualquier lenguaje de script que realmente no necesita.
3) Ejecutar Apache en un entorno chroot siempre que sea posible.

5. AUTENTICACIN
GENERALES DE CUENTAS UNIX SIN CONTRASEAS O
CONTRASEAS DBILES
Se pueden encontrar equipos Unix con deficiencias en sus mecanismos de autenticacin:
existen cuentas sin contrasea, cuentas con contraseas fcilmente deducibles, disponer
de cuentas de usuario en el sistema que no se utilizan, etc. es recomendable contar con
una poltica de contraseas donde se tenga presente por una lado el uso de contraseas
robustas y por otro el cambio de dichas contraseas peridicamente.
6. BORRA SERVICIOS DE TEXTO
Ataques Sniffer son comunes y el hecho de que muchos servicios de Linux / UNIX como
FTP no encriptan cualquier parte de la sesin, incluso la informacin de inicio de sesin,
hacen de este un vector de ataque popular. Tcpdump le mostrar cualquier transmisin de
textos claros y los administradores deben utilizarlo para buscar vulnerabilidades. Para
reducir el riesgo, considere el uso de HTTPS, POP2S, u otras alternativas cifrados para
reemplazar los servicios de texto sin formato comunes.
7. AGENTE DE TRANSPORTE DE CORREO (SENDMAIL)
El uso generalizado de Sendmail como agente de transferencia de correo significa que las
vulnerabilidades conocidas en versiones anteriores o sin parches son un objetivo comn.
Aparte de las polticas de parches responsables, las principales formas de reducir el riesgo
de Sendmail son ya sea desactivarlo cuando no lo necesite o ejecutarlo en modo demonio
cuando lo necesite.

8. PROTOCOLO SIMPLE DE ADMINISTRACIN DE RED (SNMP)

El protocolo SNMP se utiliza de una forma masiva para la gestin y configuracin remota de
todo tipo de dispositivos conectados a la red: impresoras, routers, puntos de acceso.
Dependiendo de la versin de SNMP utilizada, los mecanismos de autenticacin son muy
dbiles. Adicionalmente diversas implementaciones del protocolo son vulnerables a todo tipo de
ataques, que van desde la denegacin de servicio, a la modificacin no autorizada de la
configuracin de los dispositivos o incluso de la consola donde se centraliza la gestin de la
red.
9. SECURE SHELL (SSH)- INTRPRETE DE RDENES SEGURA
SSH es una herramienta de seguridad importante, pero muchas instalaciones no estn siendo
adecuadamente mantenidas o configuradas.
10. MALA CONFIGURACIN DE LOS SERVICIOS DE LA EMPRESA NIS (SERVICIO DE
INFORMACION DE LA RED) / NFS (SISTEMA DE ARCHIVOS DE RED)
Los servicios NFS y NIS son los mtodos ms frecuentemente utilizados para compartir
recursos e informacin entre los equipos Unix de una red. Una mala configuracin de los
mismos puede ser utilizada para la realizacin de diversos tipos de ataques, que van desde la
ejecucin de cdigo en los sistemas vulnerables a la realizacin de ataques de denegacin de
servicio.

7 BUENAS PRACTICAS DE ASEGURAMIENTO

1. SERVICIOS Y APLICACIONES
Un mtodo para reducir la huella de la vulnerabilidad es desactivar los servicios no utilizados
e inseguros. Si el servidor es nuevo, revisar cuidadosamente todos los servicios habilitados
de forma predeterminada antes de conectarse a la red es crucial para desactivar o eliminar
los servicios que no se utilizan. Muchas veces, hay mtodos similares pero ms seguros para
lograr la misma funcionalidad, como SSH en lugar de telnet. Limite el nmero de intentos de
conexin a los servicios expuestos. A continuacin se presentan algunos de los servicios
recomendados para desactivar o reemplazar:
review inetd daemons - desactivar todos los servicios que no estn en uso y activar el
seguimiento de inetd
telnetd (use ssh)
ftpd (use scp or sftpd)
shell/rsh (use ssh)
login/rlogin (use ssh)
rcp (use ssh)
tftp (si no se requiere el arranque remoto)
finger
talk
rstatd
sadmind
nfs (si es necesario utilice rango de puerto sin privilegios)

2. SEGURIDAD FSICA
Los servidores deben estar detrs de una puerta con acceso slo a personas autorizadas.
Cuando no hay nadie trabajando en la consola del servidor, la sesin de consola debe ser
concluida o bloqueada de modo que es necesaria una contrasea para acceder. La sala de
servidores se estructurar de manera que la gente fuera de la sala no pueda ver el teclado,
nombres de usuario y contraseas. Si un atacante obtiene acceso fsico a la consola del
sistema, se compromete la seguridad.
3. HOST Y CORTAFUEGOS DE RED
Son firewalls basados en host que residen en el servidor, o basados en la red y residen entre
recursos organizativos y el Internet. Los firewalls basados en host estn incluidas en la mayora
de sistemas operativos UNIX, permitiendo nicamente que el trfico autorizado fluya
hacia/desde el servidor. Un firewall de red puede pasar todo el trfico de red procedentes de la
red "Interior" mientras bloquea todo el trfico que se origina desde el "exterior". Ambos tipos de
firewall pueden "ocultar" el servidor para no ser visto. Los firewalls de red no pueden proteger
los servidores contra ataques desde dentro del rea protegida. Los firewalls no pueden prevenir
todos los tipos de ataque y pueden ser difciles de configurar. Determinar qu puertos dejar
abiertos para permitir el trfico deseado y que puertos bloquear para filtrar el trfico no deseado
puede ser un proceso largo y tedioso. Asegrese de que se realiza una revisin peridica de los
registros de firewall como parte de funciones de administracin frecuente del servidor. Utilice
"nestat - un" o nmap para verificar puertos abiertos desconocidos.

4. CUENTAS / CONTRASEAS
Si un intruso logra obtener un nombre de usuario/contrasea vlida, especialmente para una
cuenta privilegiada, el sistema se ver gravemente comprometido. Supervisar y revisar intentos
de login fallidos. El archivo de contraseas en el sistema UNIX tambin requiere proteccin con
permisos de usuario y archivos apropiados. Utilice la contrasea del archivo de sombreado si
est disponible, as como contraseas encriptadas mediante MD5 cuando sea posible.
Establecer permisos especficos en funcin de cmo se utilizar la cuenta. Revisin peridica
de cuentas que verifican si la cuenta sigue activa. Desactivar cuentas annimas y permitir un
acceso limitado a la cuenta de root. Esto podra incluir la desactivacin de la raz u otras
cuentas con privilegios de acceso a Internet entrante.
5. SISTEMA DE REGISTRO
Mecanismos de registro son otra de las caractersticas incluidas con UNIX, as como la mayora
de complementos en paquetes de aplicaciones. Habilitar el registro para ambos fracasos y
xitos. El registro ms comn que se debe activar es:
inetd tracing
messages sent to syslog AUTH facility
/var/adm/loginlog
cron logging
system accounting (Consider enabling Process accounting at boot time)
alarms on critical system log files

6. PARCHES
Los parches son lo ms importante para mantener un servidor seguro. Verifique que el
sistema tiene los ltimos parches de seguridad suministrados por el proveedor. Revisar
peridicamente el sistema para asegurar que todo est al da y realizar las actualizaciones
necesarias. Muchos proveedores de sistemas operativos envan correo electrnico a listas
de correo de seguridad cuando un nuevo cdigo est disponible o una nueva vulnerabilidad
es explotada, suscribirse a estas listas.
7. COPIAS DE SEGURIDAD
Las copias de seguridad pueden ser la lnea de vida a un sistema que no haya sido
comprometido, recuperacin de datos perdidos o una lnea de base del ltimo sistema de
trabajo antes de que un sistema de actualizacin o parche saliera mal. Servidores con datos
crticos deben ser respaldados diariamente con copias de seguridad incrementales y
semanales con las copias de seguridad de imagen completa. En funcin de la criticidad de
los datos y el impacto en los negocios, si estos datos no se recuperan debern ser
evaluados (Disaster Recovery Plan), por lo que se pueden tomar medidas para mantener
copias de seguridad fuera de sitio y rotados peridicamente de nuevo en el calendario. No te
olvides de crear el CD de recuperacin y realizar las pruebas de los procedimientos de
servidores de respaldo para arrancar desde el medio de recuperacin.

OpenSolaris fue un sistema operativo libre publicado en 2005 a

partir de la versin privativa de Solaris de Sun Microsystems, ahora
parte de Oracle Corporation.
Su Base de Desarrollo es la de Solaris 11
Es un Sistema Operativo totalmente recomendado para
servidores de alto almacenaje de archivos.
Sistema de Archivos ZFS, desarrollado por Sun.
Dynamic Tracing (D trace) una infraestructura de trazado que
proporciona visibilidad del rendimiento del Sistema.
Programas Firefox, thunderbird, pidgin, entre
otros.
Instalacin de programas por comandos.
Requerimiento del Hardware Opensolaris.

BARRA DE INICIO

INTERFAZ GRAFICA
INFORMACION
DEL SISTEMA
ICONOS

MULTIPLES ESCRITORIOS

TERMINAL

DEPOSITOS PARA DESCARGAR

APLICACIOMES
http://pkg.opensolaris.org/releas
e
http://pkg.opensolaris.org/contri
b
http://pkg.opensolaris.org/dev
https://pkg.sun.com/opensolaris
/support

MINIMIZAR SERVICIOS

DESHABILITAR LOS CORE DUMPS

(BUFFER OVERFLOW)

CREACION DE AUDITORIAS
La herramienta bsica de creacin de informes de auditora (BART),
de Oracle Solaris, permite validar exhaustivamente los sistemas
mediante comprobaciones en el nivel de archivo de un sistema a lo
largo del tiempo. Mediante la creacin de manifiestos de BART.

PERMISOS DE LOS ARCHIVOS