Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
2Activity
0 of .
Results for:
No results containing your search query
P. 1
Asegurando Un Linux Recien Instalado

Asegurando Un Linux Recien Instalado

Ratings: (0)|Views: 26|Likes:
Published by martin

More info:

Published by: martin on Feb 23, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

07/05/2012

pdf

text

original

 
Asegurando un Linux recién instaladoPor Barry O'DonovanTraducción al español por Raúl González Duqueel día 20 de Noviembre de 2004
Introducción
Desde la perspectiva de un profesional en la seguridad informática, hay bastantesdistribuciones populares de Linux que son inseguras "recién instaladas", y muchos de lospaquetes que se ponen a disposición del usuario ya están desfasados cuando estos losquieren utilizar. Dado que la seguridad de nuestro pc y mas concretamente la de lainformación que se almacena en este son de importancia prioritaria, hay una lista depasos que se deberían seguir a la hora de instalar Linux para asegurar nuestro sistemaoperativo así como para ayudarnos a identificar intentos de comprometer esta seguridad oataques que hayan tenido éxito.Los pasos a seguir se indican en la siguiente lista, y cada uno de ellos se comenta endetalle en las secciones siguientes.Instalación y configuración de un cortafuegos efectivoLa actualización (automática) de todos los paquetes instaladosParar y deshabilitar todos los servicios innecesariosLocalizar y borrar/modificar los ejecutables SUID/SGIDs innecesariosLogwatch y Tripwire
1. Instalación y configuración de un cortafuegos
Un firewall debidamente configurado es además de la primera línea de defensa la másimportante. Cualquier atacante potencial (remoto) que no pueda traspasar tu cortafuegosserá incapaz de explotar las posibles vulnerabilidades de los servicios que este protege.El cortafuegos debería iniciarse antes de que te conectes a internet por primera vez.Configuralo para denegar todos los paquetes entrantes a excepción de aquellos en estadoestablecido (ESTABLISHED) o relacionado (RELATED). Esto te proporcionará máximaprotección mientras llevas a cabo el resto de los pasos para asegurar tu distribución. Unavez que hayas completado todos los pasos requeridos puedes configurar el cortafuegossegún tus necesidades.Ya comenté los conceptos básicos de iptables, el cortafuegos integrado en el kernel deLinux, con una serie de configuraciones de ejemplo para varios escenarios en "Usandonetfilter/iptables como cortafuegos" en el número #103 de la Gaceta. Te recomiendoencarecidamente que leas este artículo y lo utilices para completar la informacnnecesaria para llevar a cabo este paso.
 
2. Actualizar todos los paquetes instalados
Una distribución Linux estándar puede incluir perfectamente más de 1,000 paquetes ymuchos de estos pueden tener nuevas versiones cuando vayas a instalarlos. La mayorparte de estas actualizaciones consistirán en nuevas características y correcciones deerrores, pero algunas también incluirán parches para vulnerabilidades, y algunas de estasvulnerabilidades pueden ser importantes. El asegurarse de que todos los paquetesinstalados estén en sus versiones mas recientes no es solo algo de lo que preocuparse ala hora de la instalación sino que se debería tener en cuenta a lo largo de toda la vida útilde nuestra nueva instalación. Esto puede llevarnos bastante tiempo pero afortunadamenteexisten algunas utilidades que pueden hacer esto por nosotros automáticamente. Las dosaplicaciones s utilizadas son APT (Advanced Package Tool) y Yum (YellowdogUpdater, Modified).Algunas distribuciones tienen sus propias utilidades para este propósito y en ese casopuede que te sea más sencillo utilizar las herramientas por defecto de tu distribución. Porejemplo las distribuciones RedHat y Fedora vienen con up2date y la distribución Debianutiliza APT.Si quieres o tienes que instalar la herramienta por ti mismo te recomendaría APT quepuede ser utilizada con cualquier distribución Linux basada en RPM. También tendrás quelocalizar algún repositorio que contenga los paquetes nuevos/actualizados para tudistribución desde los que APT los pueda descargar e instalar. Una búsqueda rápida eninternet con el nombre de tu distribución y 'apt' o 'apt-get' debería ser suficiente paralocalizar el binario de APT en formato RPM y un repositorio. Echa un vistazo a los enlacesal final del artículo para ver algunos sitios web útiles y direcciones de repositorios.Una vez que tengas APT instalado y los repositorios adidos (normalmente en/etc/apt/sources.list o similar), su uso es trivial y requiere de solo dos comandos (aejecutar como root):
$ apt-get update$ apt-get upgrade
El primer comando descarga la información mas actual de los paquetes del repositorio y elsegundo utiliza esta información para descargar e instalar nuevas versiones de paquetesya instalados si estas están disponibles. Estos comandos deberían ejecutarse cada ciertotiempo para asegurarnos de que nuestro sistema esté siempre actualizado.Si quieres máxima protección deberías intentar utilizar siempre repositorios oficiales quecontenga paquetes firmados; esto es s sencillo de hacer si usas alguna de lasaplicaciones para actualizaciones automáticas que vienen con las distribuciones maspopulares. Cuando descargues paquetes individuales y archivos de internet, intentautilizar siempre md5sum (c.f. man md5sum). Un MD5SUM o suma de control MD5 es unresumen de un archivo y la mayoría de los sitios de los que descargar archivos publicanlas sumas de control de los archivos que tienen disponibles para descargar; comparaloscon los que generes de los archivos descargados para asegurarte de que no hayasdescargado una versión del archivo/paquete que incluya algún troyano.Por último, debeas considerar seriamente el suscribirte a la lista de correo de tudistribución. Estas suelen ser listas con poco tráfico que te informarán por correo siempreque se libere algún paquete que corrija alguna vulnerabilidad.
 
3. Parar y deshabilitar todos los servicios innecesarios
En muchas distribuciones Linux nada más instalar tendrás bastantes servicios/demoniosconfigurados para ejecutarse cada vez que arranques tu máquina. Algunos incluirándemonios HTTP (servidor web), POP3/IMAP (e-mail), un servidor de bases de datos, etc.Algunos de estos son innecesarios para muchos usuarios y pueden ofrecer rutas por lasque infiltrarse en tu nuevo sistema operativo a un atacante potencial. Debeasexaminarlos uno por uno y parar y deshabilitar todos aquellos que no necesites.Las distribuciones mas comunes y populares probablemente contarán con una aplicacióngráfica para configurar estos servicios; prueba a buscar en los menús Configuración oSistema de tu aplicación de escritorio.En los sistemas RedHat, la utilidad de línea de comandos para configurar los servicios sellama chkconfig. Para obtener una lista del estado actual de todos los servicios instalados,ejecuta (como root):Los números (0 a 6) que preceden a los dos puntos representan el "nivel de ejecución" delsistema donde los dos de verdadero interés serán 3 y 5; si tu sistema arranca en consola(sin interfaz gráfica) entonces se ejecuta en nivel 3 y viceversa si arranca una interfazgráfica corre en nivel 5.Para activar un servicio (por ejemplo squid) en los niveles de ejecución 2,3,4 y 5ejecutaríamos (como root):
$ chkconfig --level 2345 squid on
y para deshabilitar un servicio (por ejemplo sshd) en los niveles 3 y 5 ejecutaríamos(como root);
$ chkconfig --level 35 sshd off
Si no sabes qué hace alguno de los servicios que tengas activados intenta buscarinformación en internet o usar el comando man con el nombre del servicio como palabraclave (man -k). Algunas de las versiones gráficas puede que te ofrezcan una explicación

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->