[ anterior ]
[ Contenidos ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ siguiente ]
Manual de Seguridad de Debian
Capítulo 1 - Introducción
Una de las cosas más dificiles sobre los documentos de seguridad es que cada
caso es único. Dos cosas a las que se debe prestar atención son la amenaza del
entorno y las necesidades de seguridad, tanto de cada parte individual como del
servidor o de la red. Por ejemplo, las necesidades de seguridad de un usuario
local son completamente diferentes a las de la red de un banco. Mientras que
un usuario local necesita defenderse contra el cracker script-kiddie,
un banco tiene que preocuparse de ataques dirigidos. Además, el banco tiene
que proteger los datos de sus clientes con precisión milimétrica. En resumen,
todo usuario debe considerar el equilibrio entre utilización y
seguridad/paranoia.
Observe que este manual solamente trata de asuntos relacionados con el
software. Ni el mejor software del mundo podría protegerlo si alguien tuviera
acceso físico a la máquina. Usted puede colocarla bajo su mesa o puede ponerla
en un búnker con un ejército que la protega. Sin embargo, un ordenador de
escritorio puede ser muchísimo más seguro (desde el punto de vista del
software) que un sistema protegido físicamente si el primero de ellos se
configura de la manera apropiada y el segundo está lleno de agujeros de
seguridad. Lógicamente, usted debe considerar ambos casos.
Este documento da una apreciación global de lo que usted puede hacer para
incrementar la seguridad de su sistema Debian GNU/Linux. Si usted ha leido
otros documentos con respecto a la seguridad en Linux, encontrará que describen
problemas comunes, los cuales pueden solaparse con este documento. Sin embargo
este documento no intenta ser la única fuente de información que usted debería
usar, sólo intenta adaptar esa misma información para su aplicación sobre un
sistema Debian GNU/Linux. La forma de trabajar de distintas distribuciones es
diferente (el ejemplo habitual es la forma de arrancar y para los demonios del
sistema); aquí usted encontrará material apropiado para los procedimientos y
herramientas utilizadas por Debian.
Si vd. tiene algún comentario o sugerencia, por favor escriba un correo a
Javier Fernández-Sanguino
(dirección alternativa jfs@debian.org) y lo incorporará dentro de este manual.
Igualmente, si detecta alguna errata en la traducción de este manual, contacte
con él.
1.1 Obtención del manual
Usted puede leer u obtener la última versión del manual de seguridad de Debian
del Proyecto de
documentación de Debian
. También puede obtener las fuentes de la
versión de cvs a través del Servidor
CVS
.
En el servidor del proyecto de documentación de Debian no podrá leer el
documento en otros formatos (como PDF o txt). Sin embargo puede obtener o
instalar el paquete harden-doc
el cual
proporciona este mismo documento en formatos HTML, texto y PDF. Tenga en
cuenta que este paquete puede no estar actualizado a la última versión
disponible en Internet (¡pero siempre puede utilizar el paquete fuente para
compilarse una nueva versión!).
1.2 Notas/Retroalimentación/Organización
Ahora, la parte oficial. Tanto Alexander Reelsen como Javier
Fernández-Sanguino escribieron la mayoría de párrafos de este manual, pero en
opinión de ambos éste no debería ser el caso. Ambos han crecido y vivido con
el software libre, es algo que usan a diario y supongo que usted también. Por
eso animamos a todo el mundo a enviar todo tipo de retroalimentación, añadidos
o cualquier otra sugerencia que usted pueda tener.
Si desea mantener una cierta sección o mejor un párrafo, escriba a quien
mantiene el documento y será bien recibido. Especialmente si encuentra una
sección marcada como ARREGLAME, lo que significa que los autores no tienen el
tiempo para hacerlo o el conocimiento total necesario sobre el tema, escríbales
un correo inmediatamente.
Por el tema de este manual está claro que es muy importante mantenerlo
actualizado y usted puede hacer su parte. Por favor, contribuya.
1.3 Conocimiento previo
La instalación de Debian GNU/Linux no es muy difícil y usted mismo debe haber
sido capaz de instalarlo. Si tiene algún conocimiento sobre Linux u otro Unix
y está familiarizado con la seguridad básica, le será más fácil entender este
manual, dado que este documento no puede explicar cada pequeño detalle o
característica (de lo contrario hubiera sido un libro en lugar de un manual).
Si usted no está tan familiarizado, probablemente debería mirar Estar enterado de los problemas de seguridad
generales, Sección 2.2 para saber como encontrar información más detallada.
1.4 Lo que falta escribir (ARREGLAME/PORHACER)
-
Considerar si escribir una sección sobre como construir aplicaciones de red
basadas en Debian (con información como el sistema básico
equivs
y
FAI).
-
Añadir información de como se configura un cortafuegos usando Debian GNU/Linux.
La sección con respecto al cortafuegos actualmente está orientada hacia un solo
sistema (no protegiendo otros...).
-
Añadir información sobre como configurar un cortafuegos proxy con Debian
GNU/Linux, estipulando qué paquetes específicos proporcionan servicios proxy
(como
xfwp
, xproxy
, ftp-proxy
,
redir
, smtpd
, nntp-cache
,
dnrd
, jftpgw
, oops
, pdnsd
,
perdition
, transproxy
, tsocks
). Debería
dirigirse al manual para cualquier otro tipo de información. Además observe
que zorp no está aún disponible como un paquete Debian, pero es un
cortafuegos proxy (los desarrolladores oficiales proporcionan paquetes Debian).
-
Información sobre la configuración de servicio con file-rc.
-
Revisar todos los enlaces y URLs y arreglar/eliminar los que ya no están
disponibles.
-
Añadir información sobre sustitutos disponibles (en Debian) para servidores
comunes que son útiles para el funcionamiento limitado. Ejemplos:
-
¿lpr local cups (paquete)?
-
apache con dhttpd/thttpd/wn (¿tux?)
-
exim/sendmail con ssmtpd/smtpd/postfix
-
Más información referente a parches del núcleo relacionados con la seguridad en
Debian, incluyendo los mostrados anteriormente y hablando específicamente de
como habilitar estos parches en un sistema Debian GNU/Linux.
-
Linux Intrusion Detection (
lids-2.2.19
)
-
Linux Trustees (en el paquete
trustees
)
-
kernel-patch-2.2.19-harden
-
Linux capabilities (en el paquete
lcap
)
-
kernel-patch-freeswan, kernel-patch-int
-
Detalles sobre como parar servicios innecesarios de red (al margen de
inetd
). Estos se encuentran parcialmente en el procedimiento de
bastionado, aunque podrían ampliarse un poco más.
-
Información con respecto a rotación de contraseñas, relacionado estrechamente
con la política de seguridad.
-
Política de seguridad, y sobre la educación de los usuarios sobre la política.
-
¿Más sobre tcpwrappers y wrappers en general?.
-
hosts.equiv
y otros agujeros de seguridad.
-
Temas relacionados con servidores de ficheros tales como Samba y NFS.
-
suidmanager/dpkg-statoverrides.
-
Elimininar cosas de IP en GNOME.
-
Hablar sobre los programas para hacer jaulas (chroot).
Compartment
y chrootuid
están en la cola de entrada.
Además, algunos otros (makejail, jailer) podrían ser introducidos en el futuro.
-
Más información con respecto a los programas de análisis de bitácoras (ie.
logcheck y logcolorise).
1.5 Listado de cambios/Historia
1.5.1 Versión 2.4
Cambios por Javier Fernández-Sanguino Peña.
-
Reescrita la parte de la sección BIOS.
1.5.2 Versión 2.3
Cambios por Javier Fernández-Sanguino Peña.
-
La mayoría de los archivos se encuentran marcados con la etiqueta file.
-
Fallo de ortografía observado por Edi Stojicevi.
-
La sección de herramientas de auditoría remota se ha modificado ligeramente.
-
Se añadieron algunas piezas de PORHACER.
-
Se añadió más información con respecto a impresoras y los archivos de
configuración de cups (tomado de un hilo en debian-security).
-
Se añadió un parche suministrado por Jesus Climent relacionado con el acceso de
usuarios válidos del sistema en Proftpd cuando se ha configurado como servidor
anónimo.
-
Pequeños cambios sobre divisiones de esquemas para el caso especial de
servidores de correo.
-
Se añadió Hacking Linux Exposed para la sección de los libros.
-
Error en directorio notificado por Eduardo Pérez Ureta.
-
Error ortográfico /etc/ssh en la checklist notificado por Edi Stojicevi.
1.5.3 Versión 2.3
Cambios por Javier Fernández-Sanguino Peña.
-
Cambio de ubicación del fichero de configuración de dpkg.
-
Alexander eliminado de la información de contacto.
-
Se añadieron direcciones de correo alternativas.
-
Se arregló la dirección de correo de Alexander (aún entre comentarios).
-
Se arregló la ubicación de la llave publicada de la distribución (gracias a
Pedro Zorzenon por señalarlo).
1.5.4 Versión 2.2
Cambios por Javier Fernández-Sanguino Peña.
-
Se arreglaron errores ortográficos gracias a Jamin W. Collins.
-
Se añadió una referencia a la página de manual de apt-extracttemplate
(documenta la configuración APT::ExtracTemplate).
-
Se añadió la sección sobre SSH restringido. Información basada en los correos
enviados por Mark Janssen, Christian G. Warden y Emmanuel Lacour en la lista
de correo debian-security.
-
Se añadió información sobre programas antivirus.
-
Se añadió un FAQ: las bitácoras de su debido al cron que se ejecuta
como root.
1.5.5 Versión 2.1
Cambios por Javier Fernández-Sanguino Peña.
-
Se eliminó el ARREGLAME de lshell gracias a Oohara Yuuma.
-
Se agregó un paquete para sXid y se eliminaron comentarios desde que éste se
encuentra disponible.
-
Se corrigieron algunos fallos ortográficos descubiertos por Oohara Yuuma.
-
ACID está ahora disponible en Debian (en el paquete acidlab). Gracias a Oohara
Yuuma por notificarlo.
-
Se arreglaron los URLs de seguridad de Linux (gracias a Dave Wreski por
comentarlo).
1.5.6 Versión 2.0
Cambios por Javier Fernández-Sanguino Peña. Quise cambiar la versión 2.0
cuando todos los ARREGLAMEs estaban cambiados, pero los eliminé de los números
1.9X :(
-
Se convirtió el HOWTO a un manual (ahora puedo decir apropiadamente LEJM).
-
Se añadió más información con respecto a los tcpwrappers y a Debian (ahora
muchos servicios están compilados con soporte para ellos, así que ya no es
problema de
inetd
).
-
Se aclaró la información sobre como deshabilitar el servicio rpc para hacerlo
más consistente (la información rpc hacía referencia a update-rc.d).
-
Se añadieron pequeñas notas sobre lprng.
-
Se agregó alguna información sobre servidores comprometidos (aún muy rústico).
-
Se corrigieron fallos ortográficos detectados por Mark Bucciarelli.
-
Se añadieron algunos pasos en la recuperación de password para proteger los
casos en que el administrador tiene paranoid-mode=on.
-
Se añadió información para colocar paranoid-mode=on cuando el login está en la
consola.
-
Nuevo párrafo para introducir las configuraciones de servicios.
-
Se reorganizó la sección Después de la instalación. Además ésta se
descompone en varios temas más, facilitando la lectura.
-
Se escribió información sobre como montar un cortafuegos con el montaje
estándar de Debian 3.0 (paquete iptables).
-
Un pequeño párrafo explicando por qué la instalación estando conectado a
Internet no es buena idea y cómo evitar esto usando las herramientas Debian.
-
Un pequeño párrafo referenciando a un trabajo publicado en el IEEE sobre como
aplicar a tiempo parches de seguridad.
-
Un apéndice sobre como montar una máquina snort Debian basada en lo que
Vladimir envió a la lista de seguridad de debian-security (3 de septiembre de
2001).
-
Información sobre como logcheck se monta en Debian y como puede ser usado en el
sistema HIDS.
-
Información sobre la contabilidad del usuario y los beneficios de los análisis.
-
Se incluyó la configuración apt.conf para leer únicamente /usr copiado del
correo de Olaf Meeuwissen a la lista de correos debian-security.
-
Nueva sección en VPN con algunas indicaciones y paquetes disponibles en Debian
(se necesita contenido de como establecer VPNs y problemas específicos de
Debian), basado en los envíos de Jaroslaw Tabor y Samuli Suonpaa a la lista
debian-security.
-
Una corta nota con respecto a algún programa que automáticamente construye
jaulas para el cambio de directorio raíz.
-
Nuevo artículo FAQ con respecto a identd basado en una discusión en la lista de
correo debian-security (febrero 2002, empezado por Johannes Weiss).
-
Nuevo artículo FAQ con respecto al inetd basada en una discusión en la lista de
correo debian-security (febrero 2002).
-
Se introdujo una nota en rcconf en la sección "deshabilitar
servicios".
-
Varió el enfoque con respecto a LKM, gracias a Philipe Gaspar.
-
Se añadieron enlaces a documentos del CERT y fuentes de información de
Couterpane.
1.5.7 Versión 1.99
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió un nuevo FAQ con respecto al tiempo de arreglo de vulnerabilidades de
seguridad.
-
Secciones FAQ reorganizadas.
-
Se comenzó a escribir la sección con respecto al firewalling en Debian
GNU/Linux (podría ser ampliado un poco).
-
Eliminados errores ortográficos detectados por Matt Kraai.
-
Cambiada la información de DNS.
-
Se agregó información sobre whisker y nbtscan para la sección de auditoría.
-
Se modificó algún URL erróneo.
1.5.8 Versión 1.98
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió una nueva sección con respecto a la auditoría usando Debian
GNU/Linux.
-
Se añadió información con respecto al demonio finger tomada de la lista de
correo de seguridad.
1.5.9 Versión 1.97
Cambios por Javier Fernández-Sanguino Peña.
-
Se cambió el enlace a Linux Trustees.
-
Se corrigieron fallos ortográficos (parches de Oohara Yuuma y Pedro Zorzenon).
1.5.10 Versión 1.96
Cambios por Javier Fernández-Sanguino Peña.
-
Se reorganizó el servicio de instalación y se añadieron y eliminaron algunas
notas.
-
Se añadieron algunas notas con respecto al uso de sistemas de comprobación de
integridad como herramientas de detección de intrusos.
-
Se añadió un capítulo con respecto firmas de paquetes.
1.5.11 Versión 1.95
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadieron notas con respecto a la seguridad de Squid enviadas por Philipe
Gaspar.
-
Cambios de enlaces sobre rookits gracias a Philipe Gaspar.
1.5.12 Versión 1.94
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadieron algunas notas con respecto a Apache y Lpr/lpng.
-
Se añadió alguna información con respecto a noexec y particiones de acceso
aleatorio.
-
Reescritura de como puede el usuario ayudar en los asuntos de seguridad Debian
(FAQ).
1.5.13 Versión 1.93
Cambios por Javier Fernández-Sanguino Peña.
-
Se arregló el sitio donde se encuentra el programa de correo.
-
Se añadieron algunos nuevos elementos a las FAQ.
1.5.14 Versión 1.92
Cambios por Javier Fernández-Sanguino Peña.
-
Añadió una pequeña sección de como se maneja la seguridad en Debian.
-
Clarificación sobre las contraseñas MD5 (gracias a `rocky').
-
Añadida un poco más de información con respecto a harden-X de Stephen Egmond.
-
Añadió algunos artículos nuevos al FAQ.
1.5.15 Versión 1.91
Cambios por Javier Fernández-Sanguino Peña.
-
Añadida un poco de información forense enviada por Yotam Rubin.
-
Añadió información de como construir una red trampa con Debian GNU/Linux.
-
Añadidas unas cosas a hacer más.
-
Corrección de más errores ortográficos (gracias a Yotam).
1.5.16 Versión 1.9
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió un parche para arreglar errores de ortografía y un poco de nueva
información (contribuido por Yotam Rubin).
-
Añadida alguna información sobre como configurar opciones de bind para
restringir el acceso al servidor de DNS.
-
Agregada información de como bastionar un sistema de Debian automáticamente
(con respecto al paquete harden y bastille).
-
Eliminados algunos PORHACER hechos y añadidos otros nuevos.
1.5.17 Versión 1.8
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió la lista de usuario/grupo por defecto proporcionada por Joey Hess
(enviada a la lista de correo debian-security).
-
Se agregó información sobre Proftp contribuida por Emmanuel Lacour.
-
Se recuperó el apéndice checklist de Era Eriksson.
-
Se añadieron algunos artículos nuevos al PORHACER y se arreglaron otros.
-
Se incluyeron manualmente los parches de Era dado que no se habían incluido en
la versión anterior.
1.5.18 Versión 1.7
Cambios por Era Eriksson.
-
Se arreglaron errores ortográficos y se cambiaron algunas palabras.
Cambios por Javier Fernández-Sanguino Peña.
-
Cambios menores de las etiquetas para seguir removiendo las tt, y sustituirlas
por las etiquetas de prgn/package.
1.5.19 Versión 1.6
Cambios por Javier Fernández-Sanguino Peña.
-
Se añadió el enlace al documento como se publicó en el DDP (debería reemplazar
el original en el futuro cercano).
-
Comenzó un mini-FAQ (debería extenderse) con algunas preguntas recuperadas de
mi buzón.
-
Se añadió información general a considerar cuando se está bastionando.
-
Se añadió un párrafo con respecto al envío de correo local (entrante).
-
Se añadieron enlaces de información.
-
Se añadió información con respecto al servicio de impresión.
-
Se añadió una lista de chequeo de bastionado.
-
Se reorganizó información de NIS y RPC.
-
Se añadieron algunas notas tomadas mientras está leyendo este documento en mi
nuevo visor :)
-
Se arreglaron algunas líneas mal formateadas.
-
Se corrigieron algunos errores ortográficos.
-
Se añadieron ideas Geniales/Paranoícas contribuidas por Gaby Schilders.
1.5.20 Versión 1.5
Cambios por Josip Rodin y Javier Fernández-Sanguino Peña.
-
Se añadieron párrafos relacionados con bind y algunos ARREGLAMEs.
1.5.21 Versión 1.4
-
Se revisaron algunos setuid pequeños.
-
Se averiguó como usar sgml2txt -f para la versión txt.
1.5.22 Versión 1.3
-
Se añadió una actualización de seguridad después del párrafo de la instalación.
-
Se añadió un párrafo del proftpd.
-
En ésta ocasión se escribió algo sobre XDM, disculpas por el anterior.
1.5.23 Versión 1.2
-
Muchas correcciones de gramática por James Treacy, nuevo párrafo de XDM.
1.5.24 Versión 1.1
-
Errores ortográficos, cambios varios.
1.5.25 Versión 1.0
1.6 Créditos y agradecimientos
-
Alexander Reelsen escribió el documento original.
-
Javier Fernández-Sanguino añadió aún más información al documento original.
-
Robert van der Meulen aportó los párrafos de quota y muchas buenas ideas.
-
Ethan Benson corrigió los párrafos de PAM y sugirió buenas ideas.
-
Dariusz Puchalak hizo contribuciones a muchos capítulos.
-
Gaby Schilders contribuyó a una buena idea de Genio/Paranoia.
-
Era Eriksson resolvió problemas de idioma en muchos lugares y contribuyó al
apéndice de la lista de comprobaciones.
-
Philipe Gaspar escribió la información de LKM.
-
Yotam Rubin contribuyó a los ajustes de muchos fallos ortográficos así como a
la información con respecto a las versiones de bind y las contraseñas md5.
-
(de Alexander) A todas las personas que me animaron a escribir, este COMO (El
cual posteriormente se convirtió en el manual) .
-
La totalidad del proyecto Debian.
[ anterior ]
[ Contenidos ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ 7 ]
[ 8 ]
[ 9 ]
[ 10 ]
[ 11 ]
[ A ]
[ B ]
[ C ]
[ siguiente ]
Manual de Seguridad de Debian
Version: 2.4 (revisión de traducción 3), Mon, 16 May 2005 21:28:04 +0200
Javier Fernández-Sanguino Peña jfs@debian.org