[ anterior ]
[ Contenidos ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ siguiente ]
COMO-Asegurar-Debian
Capítulo 5 - Antes del compromiso
5.1 Siga las actualizaciones de seguridad de Debian
Tan pronto como se revelan nuevos bugs de seguridad en los paquetes, los
mantenedores de debian y los autores generalmente los parchean en días o
incluso en horas. Después de que el bug se ha solucionado, se publica un nuevo
paquete en http://security.debian.org
. Ponga
la siguiente línea en su fichero sources.list y tendrá actualizaciones de
seguridad automáticas, siempre que actualice su sitema.
deb http://security.debian.org/debian-security potato/updates main
contrib non-free La mayoría de la gente, que no vive en un país que
prohibe la importación o el uso de cifrado fuerte, debería añadir esta línea
también: deb http://security.debian.org/debian-non-US stable/non-US main
contrib non -free Si quiere, puede añadir también las líneas deb-src a
apt. Vea la página del manual de apt para más detalles.
5.2 Intercambio de software
Debería evitar cualquier servicio de red que envíe y reciba contraseñas en
claro sobre una red como FTP/Telnet/NIS/RPC. El autor recomienda el uso de ssh
en vez de telnet y ftp. Tampoco debería usar NIS, Network Information Service,
si ello es posible, porque permite compartir contraseñas. Esto puede ser
altamente inseguro si se rompe su configuración. En último lugar, y no menos
importante, desactive RPC siempre que sea posible. Se conocen muchos agujeros
de seguridad para este servicio y se pueden explotar con facilidad. Por otro
lado, los servicios NFS son bastante importantes en algunas redes, así que
busque un equilibrio entre usabilidad y seguridad. La mayoría de los ataques
DDoS (distributed denial of service -denegación de servicio distribuida) usan
exploits rpc para acceder al sistema y actuar como uno de los llamados
agentes/manipuladores. La desactivación de portmap es bastante simple. Hay
métodos distintos; el más simple en un sistema Debian es hacer
update-rc.d portmap remove. De hecho, esto elimina todos los
enlaces simbólicos que tengan relación con portmap en /etc/rc${runlevel}.d/
(podría hacerlo manualmente). Podría también hacer chmod 644
/etc/init.d/portmap, pero da un mensaje de error en el arranque.
También puede eliminar la parte "start-stop-daemon" en el guión de
shell /etc/init.d/portmap. Considere que migrar de telnet a ssh y
usar otros protocolos de transmisión en claro de NINGUNA manera incrementa su
seguridad. Lo mejor sería eliminar ftp, telnet, pop, imap, http y
reemplazarlos por sus respectivos servicios cifrados. También puede considerar
mudarse de estos servicios a sus versiones SSL, ftp-ssl, telnet-ssl, pop-ssl,
https... La mayoría de los consejos arriba indicados se pueden aplicar a todos
los sistemas Unix.
5.3 Parches del núcleo útiles
Existen algunos parches para el núcleo que mejoran considerablemente la
seguridad del sistema. Aquí hay unos cuantos:
-
OpenWall, parche de Solar Designer. Es un conjunto útil de resctricciones al
núcleo, tales como enlaces restringidos, FIFOs en /tmp, /proc restringido,
manejadores de descripción de ficheros especiales, área de pila de usuario no
ejecutable y algunos más. Homepage:
http://www.openwall.com/linux/
-
LIDS - Linux intrusion detection system by Huagang Xie & Philippe
Biondi. Este parcehe facilita el proceso de crear un sistema linux
fuerte. Puede restringir todos los procesos, otorgar derechos de escritura o
lectura de ficheros, o eliminar, por defecto, la posibilidad de leer ficheros.
Más aún, puede también establecer las capacidades para ciertos procesos.
Incluso aún estando en fase beta es algo obligado para el administrador de
sistemas paranoico. Homepage:
http://www.lids.org
-
POSIX Access Control Lists (ACLs) for Linux. This patch adds access
control lists, an advanced method for restricting access to files, to the linux
kernel. Homepage:
http://acl.bestbits.at/
-
Linux trustees. Este parche añade listas de control de acceso al
núcleo Linux, un método avanzado para restringir accesos a ficheros. Homepage:
http://acl.bestbits.at
-
International kernel patch. Éste es un parche orientado al cifrado,
por lo tanto tiene que prestar especial atención a las leyes locales sobre el
uso del cifrado. Básicamente añade el uso de sitemas de ficheros cifrados.
Homepage:
http://www.kerneli.org
-
SubDomain. Una extensión del núcleo para crear un entorno chroot más
seguro y fácil de configurar. Puede especificar manualmente los ficheros a los
que se necesita hacer chroot y no tener que compilar los servicios
estáticamente. Homepage:
http://www.immunix.org/subdomain.html
-
UserIPAcct. Éste no es realmente un parche relacionado con la
seguridad, pero le permite crear cuotas por usuario para el tráfico en su
servidor. Y puede recoger las estadísticas del tráfico de usuarios. Homepage:
http://ramses.smeyers.be/useripacct
5.4 Ideas de genio/paranoico, lo que podría hacer
Probablemente ésta es la sección más inestable y divertida, ya que espero que
alguna de estas ideas "descabellas" puedan ponerse en práctica.
Siguiendo con el tema, aquí encontrará ideas -bueno, depende del punto de
vista, puede llamarlas de genio, paranoicas, locas o seguras- para incrementar
su seguridad rápidamente, pero no saldrá ileso de ellas.
-
Jugar con PAM. Como se dijo en el artículo phrack 56 PAM, lo mejor de PAM es
que "solamente estás limitado por lo que puedas imaginar". Es
cierto. Imagine que el login de root sea posible solamente por medio de
huellas dactilares o por escaneo de iris o por tarjeta cifrada (hmm, ¿por qué
he usado la conjuncion O y no Y?).
-
Registro fascista. Yo diría de todo lo que hemos hablado arriba que es
registro blando. Si realmente quiere aplicar registro real, coja una impresora
de papel contínuo y regístrelo todo imprimiéndolo. Suena simplón, pero es
fiable y no se puede eliminar.
-
Distribución en CD. Esta idea es muy fácil de llevar a la práctica y
extremadamente segura. Cree una distribución Debian fuertemente asegurada, un
cortafuegos diabólicamente bueno, haga una imagen ISO y tuéstela en un CD.
Hágalo arrancable. La gran ventaja de todo esto es una distribución completa
de solo lectura con unos 600 MB de espacio para servicios y el hecho de que es
imposible para los intrusos tener acceso de lectura/escritura en este sistema.
Asegúrese de que todos los datos que deberían ser escritos lo son sobre los
cables. De todas maneras, el intruso no puede cambiar las reglas del
cortafuegos, las entradas de encaminamiento o iniciar sus propios demonios
(realmente puede, pero reinicie y tiene que meterse en su sistema otra vez para
cambiarlos).
-
Desactive la capacidad de carga de módulos. Cuando desabilita el uso de
módulos del núcleo al tiempo de compilar dicho núcleo es imposible implementar
muchas de las puertas traseras del núcleo, ya que la mayoría de ellas se basan
en la instalación de módulos del núcleo.
[ anterior ]
[ Contenidos ]
[ 1 ]
[ 2 ]
[ 3 ]
[ 4 ]
[ 5 ]
[ 6 ]
[ siguiente ]
COMO-Asegurar-Debian
v1.1 27 april 2002Thu, 7 Dec 2000 19:10:13 +0100
Alexander Reelsen. Traducción: Antonio Álvarez Platero ar@rhwd.net (Alexander Reelsen)