[ anterior ] [ Contenidos ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ siguiente ]

Manual de Seguridad de Debian
Capítulo 3 - Antes y durante la instalación


3.1 Escoger una contraseña BIOS

Antes de instalar algún sistema operativo en su computador, establezca una contraseña BIOS. Después de la instalación (una vez se haya posibilitado la entrada desde el disco duro) regrese a la BIOS y cambie la secuencia de arranque del sistema para impedir el arranque desde el disco flexible, el CD-ROM y otros dispositivos desde los que no se debería arrancar. De otro modo un cracker solo necesitaría acceso físico y un disco de arranque para tener acceso a la totalidad de su sistema.

Inhabilitar El ingreso al programa sin una contraseña es mejor. Este puede ser muy efectivo si usted está administrando un servidor, porque éste no es reiniciado muy frecuentemente. El inconveniente para esta táctica es que el ingreso requiere intervención humana la cual puede causar problemas si la máquina no es de fácil acceso.


3.2 Escoger inteligentemente un esquema de partición

Un esquema de partición inteligente depende de cómo sea usada la máquina. Una buena regla para torpes es ser completamente tolerante con sus particiones y prestar atención a los siguientes factores:


3.3 No se conecte a Internet hasta que este listo

El sistema que usted va a instalar no debe ser conectado inmediatamente a Internet durante la instalación. Esto puede sonar estúpido pero usualmente se hace. Ya que el sistema instalará y activará servicios inmediatamente, si el sistema es conectado a Internet y los servicios no están correctamente configurados, usted está abierto a sufrir un ataque.

También verifique si algún servicio tiene nuevas vulnerabilidades de seguridad no arregladas en los paquetes que usted está utilizando para la instalación. Normalmente esto es cierto si usted está instalando desde un medio antiguo (como CD-ROMs) . En este caso, ¡puede estar comprometido antes de que la instalación se haya terminado!.

Como la instalación y las actualizaciones de Debian pueden ser realizadas desde Internet, usted debe pensar que es una buena idea usar esta característica en la instalación. Si el sistema va a ser conectado directamente a Internet (y sin estar protegido por un cortafuegos o NAT), es mejor instalar sin conexión a Internet, utilizando un espejo local de paquetes tanto para los fuentes de los paquetes de Debian como para las actualizaciones de seguridad. Usted puede configurar los espejos de paquetes usando otro sistema conectado a Internet con herramientas específicas de Debian (si es un sistema Debian) como apt-move o apt-proxy, u otras herramientas comunes para espejos que provean los archivos para el sistema instalado.


3.4 Colocar una contraseña de root (Administrador de Linux)

Colocar una buena contraseña a root es el más básico requerimiento para tener un sistema seguro.


3.5 Activar contraseñas shadow y md5

Al final de la instalación se le preguntará si las contraseñas shadow deben ser habilitadas. Responda con un SI a esta pregunta, y así las contraseñas se mantendrán en el archivo /etc/shadow. Solo el usuario root y el grupo shadow tienen acceso de lectura a este archivo, así que los usuarios no estarán autorizados a realizar una copia de este archivo con el objeto de ejecutar un decodificador de contraseñas. Usted puede cambiar entre las contraseñas shadow y las contraseñas normales en cualquier momento utilizando shadowconfig. Además, durante la instalación se le preguntará si quiere usar las contraseñas con una función MD5 aplicada. Esto es generalmente una muy buena idea, ya que permite unas contraseñas más extensas y una mejor encriptación.

Lea más acerca de las contraseñas shadow en Shadow Password (/usr/share/doc/HOWTO/en-txt/Shadow-Password.txt.gz).


3.6 Ejecute el mínimo número de servicios requeridos

Los servicios son programas tales como los servidores de ftp y los servidores web. Ya que ellos deben estar escuchando las conexiones entrantes que requieren el servicio, computadores externos podrán conectarse con usted. Los servicios son algunas veces vulnerables (i.e. puede estar comprometido bajo un ataque dado) y por lo tanto son un riesgo de seguridad.

Usted no debería instalar servicios innecesarios para su máquina. Todo nuevo servicio instalado, quizás sin evidencia (o evidentemente), puede crear fallas de seguridad en su computador.

Como es bien sabido, cuando usted instala un servicio dado, el comportamiento erróneo es activarlo. En una instalación por defecto de Debian, sin servicios instalados, la huella de los servicios recorridos es lenta y es aun más lento cuando se habla acerca de los servicios ofrecidos en la red. La huella en Debian 2.1 no era tan difícil como la 2.2 (algunos servicios inetd fueron permitidos por descuido) y en el Debian 2.2 el Rpc PORTMAPPER se permite para la instalación. Rpc es instalado por descuido porque este es necesitado por muchos servicios, por ejemplo NFS, para recorrer en un sistema dado. Esto puede ser removido fácilmente, sin embargo, vea Deshabilitar los demonios, Sección 3.6.1 para saber como desactivarlo.

Cuando usted instale un nuevo servicio relacionado con la red (demonio) en su sistema Debian GNU/ Linux, éste puede ser habilitado de dos formas: a través del superdemonio de inetd (i.e una línea será añadida a /etc/inetd.conf) o a través de un programa automático que se ratifica a si mismo con el conector de unidades del sistema. Los programas automáticos son controlados a través de los archivos /etc/init.d , los cuales son llamados al momento de entrar a través del mecanismo SysV (o una alternativa mas) por usar conexiones del sistema en /etc/rc?.d/* (para mas información sobre como hacer la lectura /usr/share/doc/sysvinit/README.runlevels.gz).

Si usted aun desea tener algunos servicios para usarlos de vez en cuando, use los comandos de update, e.g. 'update-inetd' y 'update-rc.d' para eliminarlos del proceso de inicio.


3.6.1 Deshabilitar los demonios

Incapacitar un demonio (o servicio) es muy sencillo. Hay diferentes métodos:

Usted puede eliminar estas conexiones de /etc/rc${runlevel}.d/ manualmente o usando update-rc.d (ver update-rc.d(8)). Por ejemplo, Usted puede inhabilitar un servicio de ejecución en los niveles haciendo:

     update-rc.d stop XX 2 3 4 5 .

Por favor note que, si usted no está usando file-rc, update-rc.d -f _service_ remove no trabajara adecuadamente, ya que todas las conexiones son removidas, cuando se realice la reinstalación o crezca el paquete, estas conexiones estarán regeneradas (probablemente no como usted quería). Si usted piensa que esto no es intuitivo probablemente usted estaría en lo cierto (vea Bug 67095. Del manual de paginas:

     Si algunos archivos /etc/rcrunlevel.d/[sk]??nombre ya existen entonces
     update-rc.d no hace nada. Esto ocurre porque el sistema administrador
     puede reorganizar las conexiones, permitiendo que ellos dejen la
     ultima conexión que queda, sin tener su configuración sobrescrita.

Si usted esá usando file-rc toda la información relativa a los servicios de entrada está manejada por un archivo de configuración común y es mantenido aun sí los paquetes son removidos del sistema.

Usted puede usar el TUI (Texto Interfaces del Usuario) proporcionado por rcconf para hacer todos estos cambios fácilmente (rcconf trabaja de dos formas por file-rc y el sistema normal V runlevels).

Otros métodos (no recomendables) de servicios inhabilitados son: chmod 644 /etc/init.d/_demonio_ (pero éste provocará un mensaje de error cuando usted entre al sistema) o modificar la escritura de /etc/init.d/_demonio_ (añadiendo una línea con exit 0 al comienzo o comentando la parte start-stop-daemon). Ya que los archivos init.d son archivos de configuración, éstos no serán sobrescritos al actualizar programas.

Desafortunadamente, a diferencia de otros sistema operativos (UNIX), los servicios en Debian no pueden ser desactivados al modificar los archivos en /etc/default/_servicename_.

ARREGLAME: Proporcionar mas información sobre el manejo de demonios usando file-rc.


3.6.2 Deshabilitar los servicios inetd

Usted debe parar todos los servicios innecesarios en su sistema, como echo, chargen, discard, daytime, time, talk, ntalk y r-services (rsh, rlogin y rcp) los cuales son considerados ALTAMENTE inseguros (en cambio use ssh). Después de inhabilitarlos, usted debe revisar si realmente necesita el demonio inetd. Mucha gente prefiere usar los demonios en lugar de servicios de llamada via inetd. En los ataques de Denial of service existen posibilidades en contra de inedt, las cuales pueden incrementar la carga de la máquina tremendamente. Si usted aun quiere ejecutar algún tipo de servicio inedt, utilize un demonio de inet más configurable como xinetd o rlinetd.

Usted puede inhabilitar directamente los servicios por la edición de /etc/inetd.conf, pero Debian proporciona una mejor alternativa para hacer esto:update-inetd (el cual comenta los servicios de una forma que este pude fácilmente ser reactivado de nuevo). Usted podría eliminar el demonio telnet ejecutando estos comandos para cambiar el archivo de configuración y reiniciar el demonio (en este caso el servicio telnet es inhabilitado):

     /usr/sbin/update-inetd --disable telnet

Si usted quiere tener servicios escuchando, pero no quiere que escuchen todas las direcciones IP de su host, usted podría usar una característica no documentada de inetd.. O usar un demonio inetd alterno como xinetd.


3.7 Lea las listas de correo de seguridad de Debian

Nunca es malo dar un vistazo en cualquier lista de correo de los anuncios de seguridad de Debian, donde son anunciados avisos y correcciones para promocionar paquetes por el equipo de Debian, o en debian-security@lists.debian.org, donde usted puede participar en discusiones acerca de cosas relacionadas a la Seguridad de Debian.

Para recibir alertas importantes de la seguridad de update. Envíe un e-mail a debian-security-announce-request@lists.debian.orgcon la palabra 'suscribir' en la línea "subject". Usted también puede suscribirse a esta lista e-mail moderada en la pagina Web http://www.debian.org/MailingLists/subscribe

Estas listas de correo tienen un muy bajo volumen, y al suscribirse a esta usted será inmediatamente alertado de los asuntos de seguridad de la distribución Debian. Esto le permite rápidamente cargar nuevos paquetes con correcciones en la seguridad, lo cual es muy importante en el mantenimiento de un sistema seguro. (VeaEjecute una actualización de seguridad, Sección 4.6 para mas detalles sobre como hacer esto.)


[ anterior ] [ Contenidos ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ siguiente ]

Manual de Seguridad de Debian

Version: 2.4 (revisión de traducción 3), Mon, 16 May 2005 21:28:04 +0200

Javier Fernández-Sanguino Peña jfs@debian.org