[ anterior ] [ Contenidos ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ siguiente ]

COMO-Asegurar-Debian
Capítulo 5 - Antes del compromiso


5.1 Siga las actualizaciones de seguridad de Debian

Tan pronto como se revelan nuevos bugs de seguridad en los paquetes, los mantenedores de debian y los autores generalmente los parchean en días o incluso en horas. Después de que el bug se ha solucionado, se publica un nuevo paquete en http://security.debian.org. Ponga la siguiente línea en su fichero sources.list y tendrá actualizaciones de seguridad automáticas, siempre que actualice su sitema.

deb http://security.debian.org/debian-security potato/updates main contrib non-free La mayoría de la gente, que no vive en un país que prohibe la importación o el uso de cifrado fuerte, debería añadir esta línea también: deb http://security.debian.org/debian-non-US stable/non-US main contrib non -free Si quiere, puede añadir también las líneas deb-src a apt. Vea la página del manual de apt para más detalles.


5.2 Intercambio de software

Debería evitar cualquier servicio de red que envíe y reciba contraseñas en claro sobre una red como FTP/Telnet/NIS/RPC. El autor recomienda el uso de ssh en vez de telnet y ftp. Tampoco debería usar NIS, Network Information Service, si ello es posible, porque permite compartir contraseñas. Esto puede ser altamente inseguro si se rompe su configuración. En último lugar, y no menos importante, desactive RPC siempre que sea posible. Se conocen muchos agujeros de seguridad para este servicio y se pueden explotar con facilidad. Por otro lado, los servicios NFS son bastante importantes en algunas redes, así que busque un equilibrio entre usabilidad y seguridad. La mayoría de los ataques DDoS (distributed denial of service -denegación de servicio distribuida) usan exploits rpc para acceder al sistema y actuar como uno de los llamados agentes/manipuladores. La desactivación de portmap es bastante simple. Hay métodos distintos; el más simple en un sistema Debian es hacer update-rc.d portmap remove. De hecho, esto elimina todos los enlaces simbólicos que tengan relación con portmap en /etc/rc${runlevel}.d/ (podría hacerlo manualmente). Podría también hacer chmod 644 /etc/init.d/portmap, pero da un mensaje de error en el arranque. También puede eliminar la parte "start-stop-daemon" en el guión de shell /etc/init.d/portmap. Considere que migrar de telnet a ssh y usar otros protocolos de transmisión en claro de NINGUNA manera incrementa su seguridad. Lo mejor sería eliminar ftp, telnet, pop, imap, http y reemplazarlos por sus respectivos servicios cifrados. También puede considerar mudarse de estos servicios a sus versiones SSL, ftp-ssl, telnet-ssl, pop-ssl, https... La mayoría de los consejos arriba indicados se pueden aplicar a todos los sistemas Unix.


5.3 Parches del núcleo útiles

Existen algunos parches para el núcleo que mejoran considerablemente la seguridad del sistema. Aquí hay unos cuantos:


5.4 Ideas de genio/paranoico, lo que podría hacer

Probablemente ésta es la sección más inestable y divertida, ya que espero que alguna de estas ideas "descabellas" puedan ponerse en práctica. Siguiendo con el tema, aquí encontrará ideas -bueno, depende del punto de vista, puede llamarlas de genio, paranoicas, locas o seguras- para incrementar su seguridad rápidamente, pero no saldrá ileso de ellas.


[ anterior ] [ Contenidos ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ siguiente ]

COMO-Asegurar-Debian

v1.1 27 april 2002Thu, 7 Dec 2000 19:10:13 +0100
Alexander Reelsen. Traducción: Antonio Álvarez Platero ar@rhwd.net (Alexander Reelsen)