🔒 Linux Security

Gestión de Permisos Linux

Scripts avanzados para automatizar la auditoría y gestión de permisos de archivos en sistemas Linux. Herramientas profesionales para asegurar la integridad y seguridad del sistema.

5 Scripts

777 Permisos

100% Bash

Ver Proyecto → 📁 GitHub

¿Qué es la Gestión de Permisos Linux?

🎯

Objetivo

Automatizar la auditoría y gestión de permisos para garantizar la seguridad y conformidad en sistemas Linux.

⚡

Tecnología

Desarrollado con scripts Bash nativos usando comandos como ls, chmod, chown y find para máxima compatibilidad.

🛡️

Seguridad

Implementa mejores prácticas de seguridad para proteger archivos sensibles y cumplir con políticas corporativas.

Características Principales

📊

Auditoría Automática

Escaneo completo del sistema para identificar archivos y directorios con permisos incorrectos o vulnerables.

✅ Detección de permisos excesivos
✅ Archivos con permisos 777
✅ Configuraciones SUID/SGID
✅ Reportes detallados

🔧

Corrección Automática

Scripts para aplicar automáticamente las correcciones de permisos según políticas predefinidas.

✅ Aplicación masiva de permisos
✅ Respaldo antes de cambios
✅ Verificación post-corrección
✅ Logs de todas las acciones

Demostración Interactiva

Terminal - Gestión de Permisos Linux

Guía de Uso

Auditoría de Permisos

Preparar el entorno

Descarga y configura los scripts de auditoría en tu sistema.

# Clonar el repositorio
git clone https://github.com/th3herrera/File_permissions_in_Linux.git
cd File_permissions_in_Linux

# Dar permisos de ejecución
chmod +x *.sh

Ejecutar auditoría completa

Analiza los permisos de un directorio específico o todo el sistema.

# Auditar directorio específico
./audit_permissions.sh /home/usuario/proyectos

# Auditar sistema completo (requiere sudo)
sudo ./audit_permissions.sh /

Analizar resultados

Revisa el reporte generado con todas las vulnerabilidades encontradas.

# Ver reporte de auditoría
cat audit_report_$(date +%Y%m%d).txt

# Filtrar archivos críticos
grep "777\|666" audit_report_$(date +%Y%m%d).txt

Corrección Automática

Crear respaldo de seguridad

Genera una copia de seguridad de la configuración actual antes de realizar cambios.

# Crear respaldo de permisos actuales
./backup_permissions.sh /home/usuario/proyectos

# Verificar que el respaldo se creó correctamente
ls -la backups/permissions_backup_*.txt

Aplicar correcciones

Ejecuta las correcciones automáticas según las políticas de seguridad establecidas.

# Aplicar correcciones automáticas
./fix_permissions.sh /home/usuario/proyectos

# Corrección manual de archivos específicos
chmod 644 documento_confidencial.txt
chmod 755 script_importante.sh

Verificar y validar

Confirma que los permisos se han aplicado correctamente y el sistema funciona.

# Verificar permisos aplicados
./verify_permissions.sh /home/usuario/proyectos

# Comparar con el estado anterior
diff backups/permissions_backup_*.txt current_permissions.txt

Implementación Técnica

audit_permissions.sh

#!/bin/bash

# Script de auditoría de permisos de archivos
# Autor: Jorge Herrera (TIBU-SBY)
# Descripción: Analiza permisos de archivos y genera reportes de seguridad

AUDIT_DIR="${1:-$(pwd)}"
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
REPORT_FILE="audit_report_${TIMESTAMP}.txt"
LOG_FILE="audit_log_${TIMESTAMP}.log"

# Función para logging
log_message() {
    echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" | tee -a "$LOG_FILE"
}

# Verificar si el directorio existe
if [[ ! -d "$AUDIT_DIR" ]]; then
    log_message "ERROR: El directorio $AUDIT_DIR no existe"
    exit 1
fi

log_message "Iniciando auditoría de permisos en: $AUDIT_DIR"

# Crear reporte
{
    echo "=== REPORTE DE AUDITORÍA DE PERMISOS ==="
    echo "Directorio analizado: $AUDIT_DIR"
    echo "Fecha y hora: $(date)"
    echo "Usuario que ejecuta: $(whoami)"
    echo "============================================"
    echo ""

    # Archivos con permisos 777 (muy peligrosos)
    echo "🚨 ARCHIVOS CON PERMISOS 777 (CRÍTICO):"
    find "$AUDIT_DIR" -type f -perm 777 -ls 2>/dev/null | head -20
    echo ""

    # Archivos con permisos de escritura mundial
    echo "⚠️  ARCHIVOS CON ESCRITURA MUNDIAL:"
    find "$AUDIT_DIR" -type f -perm -002 -ls 2>/dev/null | head -30
    echo ""

    # Archivos SUID/SGID
    echo "🔐 ARCHIVOS CON SUID/SGID:"
    find "$AUDIT_DIR" -type f \( -perm -4000 -o -perm -2000 \) -ls 2>/dev/null
    echo ""

    # Directorios con permisos excesivos
    echo "📁 DIRECTORIOS CON PERMISOS EXCESIVOS:"
    find "$AUDIT_DIR" -type d -perm -002 -ls 2>/dev/null | head -20
    echo ""

    # Archivos sin propietario
    echo "👤 ARCHIVOS SIN PROPIETARIO VÁLIDO:"
    find "$AUDIT_DIR" -nouser -o -nogroup 2>/dev/null | head -10
    echo ""

    # Resumen estadístico
    echo "📊 RESUMEN ESTADÍSTICO:"
    total_files=$(find "$AUDIT_DIR" -type f 2>/dev/null | wc -l)
    critical_files=$(find "$AUDIT_DIR" -type f -perm 777 2>/dev/null | wc -l)
    world_writable=$(find "$AUDIT_DIR" -type f -perm -002 2>/dev/null | wc -l)
    
    echo "- Total de archivos analizados: $total_files"
    echo "- Archivos críticos (777): $critical_files"
    echo "- Archivos con escritura mundial: $world_writable"
    
} > "$REPORT_FILE"

log_message "Auditoría completada. Reporte guardado en: $REPORT_FILE"
echo "📋 Reporte de auditoría: $REPORT_FILE"
echo "📝 Log de ejecución: $LOG_FILE"

fix_permissions.sh

#!/bin/bash

# Script de corrección automática de permisos
# Autor: Jorge Herrera (TIBU-SBY)
# Descripción: Aplica correcciones de seguridad a permisos de archivos

TARGET_DIR="${1:-$(pwd)}"
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
BACKUP_DIR="./backups"
LOG_FILE="fix_permissions_${TIMESTAMP}.log"
DRY_RUN="${2:-false}"

# Crear directorio de respaldos
mkdir -p "$BACKUP_DIR"

# Función para logging
log_action() {
    echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1" | tee -a "$LOG_FILE"
}

# Función para crear respaldo
create_backup() {
    local file="$1"
    local backup_file="$BACKUP_DIR/$(basename "$file")_perms_${TIMESTAMP}.bak"
    stat -c "%n %a %U:%G" "$file" >> "$backup_file"
    log_action "BACKUP: Respaldo creado para $file"
}

# Verificar directorio
if [[ ! -d "$TARGET_DIR" ]]; then
    log_action "ERROR: Directorio $TARGET_DIR no encontrado"
    exit 1
fi

log_action "Iniciando corrección de permisos en: $TARGET_DIR"
log_action "Modo dry-run: $DRY_RUN"

# Contador de cambios
changes_made=0

# 1. Corregir archivos con permisos 777
log_action "=== CORRIGIENDO ARCHIVOS CON PERMISOS 777 ==="
while IFS= read -r -d '' file; do
    if [[ -f "$file" ]]; then
        create_backup "$file"
        if [[ "$DRY_RUN" == "false" ]]; then
            chmod 644 "$file"
            log_action "FIXED: $file (777 → 644)"
        else
            log_action "DRY-RUN: $file (777 → 644)"
        fi
        ((changes_made++))
    fi
done < <(find "$TARGET_DIR" -type f -perm 777 -print0 2>/dev/null)

# 2. Corregir archivos con escritura mundial
log_action "=== REMOVIENDO ESCRITURA MUNDIAL ==="
while IFS= read -r -d '' file; do
    if [[ -f "$file" ]]; then
        create_backup "$file"
        if [[ "$DRY_RUN" == "false" ]]; then
            chmod o-w "$file"
            log_action "FIXED: $file (removida escritura para others)"
        else
            log_action "DRY-RUN: $file (removida escritura para others)"
        fi
        ((changes_made++))
    fi
done < <(find "$TARGET_DIR" -type f -perm -002 -print0 2>/dev/null)

# 3. Asegurar directorios importantes
log_action "=== ASEGURANDO DIRECTORIOS ==="
while IFS= read -r -d '' dir; do
    if [[ -d "$dir" ]]; then
        create_backup "$dir"
        if [[ "$DRY_RUN" == "false" ]]; then
            chmod 755 "$dir"
            log_action "FIXED: $dir (permisos de directorio → 755)"
        else
            log_action "DRY-RUN: $dir (permisos de directorio → 755)"
        fi
        ((changes_made++))
    fi
done < <(find "$TARGET_DIR" -type d -perm -002 -print0 2>/dev/null)

# 4. Aplicar políticas específicas por tipo de archivo
log_action "=== APLICANDO POLÍTICAS POR TIPO ==="
# Scripts ejecutables
find "$TARGET_DIR" -name "*.sh" -type f -exec chmod 755 {} \; 2>/dev/null
# Archivos de configuración
find "$TARGET_DIR" -name "*.conf" -type f -exec chmod 644 {} \; 2>/dev/null
# Archivos de log
find "$TARGET_DIR" -name "*.log" -type f -exec chmod 640 {} \; 2>/dev/null

log_action "=== RESUMEN DE CORRECCIONES ==="
log_action "Total de cambios realizados: $changes_made"
log_action "Respaldos guardados en: $BACKUP_DIR"
log_action "Log completo: $LOG_FILE"

if [[ "$DRY_RUN" == "true" ]]; then
    echo "🔍 Ejecución en modo DRY-RUN - No se realizaron cambios reales"
    echo "📋 Para aplicar cambios, ejecuta: $0 $TARGET_DIR false"
fi

echo "✅ Corrección de permisos completada"
echo "📝 Ver log completo: cat $LOG_FILE"

permissions_lib.sh - Funciones Core

#!/bin/bash

# Librería de funciones para gestión de permisos
# Autor: Jorge Herrera (TIBU-SBY)
# Descripción: Conjunto de funciones reutilizables para auditoría y gestión

# Función para verificar permisos detallados de un archivo
check_file_permissions() {
    local file="$1"
    
    if [[ ! -e "$file" ]]; then
        echo "❌ ERROR: El archivo '$file' no existe"
        return 1
    fi
    
    local perms_octal=$(stat -c "%a" "$file" 2>/dev/null)
    local perms_symbolic=$(stat -c "%A" "$file" 2>/dev/null)
    local owner=$(stat -c "%U" "$file" 2>/dev/null)
    local group=$(stat -c "%G" "$file" 2>/dev/null)
    local size=$(stat -c "%s" "$file" 2>/dev/null)
    local modified=$(stat -c "%y" "$file" 2>/dev/null)
    
    echo "📄 INFORMACIÓN DEL ARCHIVO: $file"
    echo "   Permisos octales: $perms_octal"
    echo "   Permisos simbólicos: $perms_symbolic"
    echo "   Propietario: $owner:$group"
    echo "   Tamaño: $size bytes"
    echo "   Última modificación: $modified"
    
    # Análisis de seguridad
    analyze_security_risk "$file" "$perms_octal"
}

# Función para analizar riesgos de seguridad
analyze_security_risk() {
    local file="$1"
    local perms="$2"
    
    echo "🔍 ANÁLISIS DE SEGURIDAD:"
    
    # Verificar permisos críticos
    case "$perms" in
        777) echo "   🚨 CRÍTICO: Permisos 777 - Lectura, escritura y ejecución para todos" ;;
        666) echo "   ⚠️  ALTO: Permisos 666 - Lectura y escritura para todos" ;;
        755) echo "   ✅ SEGURO: Permisos 755 - Configuración estándar" ;;
        644) echo "   ✅ SEGURO: Permisos 644 - Solo lectura para grupo y otros" ;;
        600) echo "   🔒 SEGURO: Permisos 600 - Solo propietario puede acceder" ;;
        *) echo "   ℹ️  INFO: Permisos $perms - Verificar manualmente" ;;
    esac
    
    # Verificar si es ejecutable por otros
    if [[ $(echo "$perms" | cut -c3) -eq 1 ]] || [[ $(echo "$perms" | cut -c3) -eq 3 ]] || [[ $(echo "$perms" | cut -c3) -eq 5 ]] || [[ $(echo "$perms" | cut -c3) -eq 7 ]]; then
        echo "   ⚠️  ADVERTENCIA: Archivo ejecutable por otros usuarios"
    fi
}

# Función para generar reporte de seguridad detallado
generate_security_report() {
    local target_dir="$1"
    local report_file="${2:-security_report_$(date +%Y%m%d_%H%M%S).html}"
    
    echo "🔍 Generando reporte de seguridad detallado..."
    
    cat > "$report_file" << EOF



    Reporte de Seguridad - Permisos de Archivos
    


    🔒 Reporte de Seguridad de Permisos
    Directorio analizado: $target_dir
    Fecha de generación: $(date)
    Usuario: $(whoami)
    
    📊 Resumen Ejecutivo
    
EOF

    # Generar estadísticas
    local total_files=$(find "$target_dir" -type f 2>/dev/null | wc -l)
    local critical_files=$(find "$target_dir" -type f -perm 777 2>/dev/null | wc -l)
    local world_writable=$(find "$target_dir" -type f -perm -002 2>/dev/null | wc -l)
    local executable_others=$(find "$target_dir" -type f -perm -001 2>/dev/null | wc -l)
    
    cat >> "$report_file" << EOF
        
        Categoría Cantidad Estado
Total de archivos $total_files ✅
        Archivos críticos (777) $critical_files $([ $critical_files -eq 0 ] && echo '✅' || echo '🚨')
        Archivos con escritura mundial $world_writable $([ $world_writable -eq 0 ] && echo '✅' || echo '⚠️')
        Ejecutables por otros $executable_others $([ $executable_others -eq 0 ] && echo '✅' || echo '⚠️')
    
    
    🚨 Archivos Críticos
    EOF

    find "$target_dir" -type f -perm 777 -ls 2>/dev/null >> "$report_file"
    
    cat >> "$report_file" << EOF
    
    
    📋 Recomendaciones
    
        Corregir inmediatamente archivos con permisos 777
        Revisar archivos con escritura mundial
        Implementar políticas de permisos por tipo de archivo
        Establecer monitoreo continuo de cambios
        Realizar auditorías periódicas
    


EOF

    echo "✅ Reporte HTML generado: $report_file"
}

# Función para aplicar políticas de seguridad por tipo
apply_file_type_policies() {
    local target_dir="$1"
    
    echo "🛡️ Aplicando políticas de seguridad por tipo de archivo..."
    
    # Scripts de shell
    find "$target_dir" -name "*.sh" -type f -exec chmod 755 {} \;
    echo "   ✅ Scripts .sh configurados a 755"
    
    # Archivos de configuración
    find "$target_dir" -name "*.conf" -o -name "*.cfg" -o -name "*.ini" | while read -r file; do
        chmod 644 "$file"
    done
    echo "   ✅ Archivos de configuración configurados a 644"
    
    # Archivos de log
    find "$target_dir" -name "*.log" -type f -exec chmod 640 {} \;
    echo "   ✅ Archivos de log configurados a 640"
    
    # Archivos de datos sensibles
    find "$target_dir" -name "*password*" -o -name "*secret*" -o -name "*key*" | while read -r file; do
        if [[ -f "$file" ]]; then
            chmod 600 "$file"
            echo "   🔒 Archivo sensible protegido: $file"
        fi
    done
}

# Función principal de validación
validate_permissions() {
    local target="$1"
    
    if [[ ! -e "$target" ]]; then
        echo "❌ ERROR: '$target' no existe"
        return 1
    fi
    
    if [[ -f "$target" ]]; then
        check_file_permissions "$target"
    elif [[ -d "$target" ]]; then
        echo "📁 Analizando directorio: $target"
        local file_count=$(find "$target" -type f | wc -l)
        echo "   Archivos encontrados: $file_count"
        
        # Análisis rápido de problemas
        local issues=$(find "$target" -type f \( -perm 777 -o -perm -002 \) | wc -l)
        if [[ $issues -gt 0 ]]; then
            echo "   ⚠️  Problemas detectados: $issues archivos requieren atención"
        else
            echo "   ✅ No se detectaron problemas críticos"
        fi
    fi
}

Categoría	Cantidad	Estado
Total de archivos	$total_files	✅
Archivos críticos (777)	$critical_files	$([ $critical_files -eq 0 ] && echo '✅' \|\| echo '🚨')
Archivos con escritura mundial	$world_writable	$([ $world_writable -eq 0 ] && echo '✅' \|\| echo '⚠️')
Ejecutables por otros	$executable_others	$([ $executable_others -eq 0 ] && echo '✅' \|\| echo '⚠️')

Consideraciones de Seguridad

⚠️

Uso Responsable

Esta herramienta debe utilizarse únicamente en sistemas propios o con autorización explícita del administrador. Siempre crea respaldos antes de aplicar cambios masivos de permisos.

Mejores Prácticas

Siempre crear respaldos antes de modificar permisos
Probar cambios en entornos de desarrollo
Documentar todos los cambios realizados
Revisar logs periódicamente
Implementar monitoreo continuo

Políticas de Cumplimiento

Seguir estándares ISO 27001
Cumplir con regulaciones GDPR
Implementar principio de menor privilegio
Auditorías regulares de acceso
Segregación de responsabilidades

Detalles Técnicos

Tecnologías Utilizadas

Bash Linux chmod find stat

Scripts Bash nativos para máxima compatibilidad
Comandos estándar de Unix/Linux
Sin dependencias externas
Compatible con todas las distribuciones

Características Avanzadas

Procesamiento en lotes eficiente
Logging detallado de operaciones
Validación de entrada robusta
Manejo de errores comprehensivo
Reportes en múltiples formatos
Integración con sistemas de monitoreo

Rendimiento

Optimizado para grandes volúmenes de archivos
Procesamiento paralelo cuando es posible
Uso mínimo de recursos del sistema
Tiempo de ejecución predecible
Escalable a entornos empresariales

🚀 ¿Te ha gustado este proyecto?

Conecta conmigo y explora más proyectos de ciberseguridad

Ver Más Proyectos Conocer Más Contactar