Manual de Seguridad de Debian
Contents
1. 4 1 Colocar una contrase a a lilo o grub Es muy f cil entrar a una shell con el usuario root y cambiar las contrasefias simplemente tecleando lt name of your bootimage gt init bin sh Luego de cambiar las contrasefias y re ingresar al sistema la persona ha tiene acceso ilimitado como root y puede hacer cualquier cosa que el ella quiera en el sistema Despu s de este procedimiento usted no tendr acceso a su sistema porque usted no conoce la contrasefia de root Aseg rese que esto no pueda suceder usted deber a colocar una contrase a para el cargador de linux Usted puede escoger entre una contrase a global y una contrase a para una imagen Para LILO usted necesita editar el archivo etc 1ilo conf y agregar una contrase a y re stringirlo como en el siguiente ejemplo image boot 2 2 14 vmlinuz label Linux read only password hackme restricted Cuando haya terminado ejecute LILO Omitir la linea rest ricted produce que LILO siem pre pida una contrasefia aun si no se le pasan par metros a LILO Los permisos defectuosos de etc lilo conf para que el gran root lea yescriba y se habilite el acceso de solo lectura para el grupolilo conf s de root Si usted usa GRUB en lugar de LILO edite boot grub menu lst y agregue las siguientes dos l neas al inicio sustituyendo por supuesto hackme con la contrase a deseada Esto pre viene a los usuarios de editar los tems de entrada timeout3 especifica tres s2. Significa eso que es muy vul nerable La distribuci n Debian contiene un gran y creciente numero de paquetes de programas y prob ablemente m s que los proporcionados por muchos sistemas operativos propietarios Cuantos m s paquetes se instalen mayor ser el riesgo potencial de tener problemas de seguridad para un sistema dado M s y m s personas est n examinando el c digo fuente en busca de debilidades Hay muchos avisos acerca de auditor as del c digo fuente de los componentes m s importantes de Debian Cuando esas auditor as de c digo fuente descubren vulnerabilidades se solucionan y se env a un aviso a las listas y a Bugtraq Los errores que est n presentes en la distribuci n Debian tambien afectan habitualmente a otros fabricantes y distribuciones Revise la secci n Debian specific yes no al comienzo de cada aviso DSA 2Sin descontar el hecho de que algunas distribuciones como RedHat o Mandrake est n tomando en serio la seguridad de sus instalaciones predeterminadas haciendo que el usuario seleccione perfiles de seguridad o mediante asistentes para ayudar en la configuraci n de cortafuegos personales Cap tulo 11 Preguntas Frecuentes 97 11 1 3 Tiene Debian alguna certificaci n relacionada con la seguridad Respuesta corta no Respuesta larga las certificaciones cuestan dinero y nadie ha dedicado los recursos para cer tificar a Debian GNU Linux a ning n nivel de por ejemplo el Common C
3. Lax Moderar o Paranoia en una seguridad dada servidor o estaci n de trabajo y dejar decidir a la Bastilla cual pol tica de seguridad implementar usando BastilleChooser 8 Tomar un archivo predefinido de configuraci n podr a ser proporcionado por Bastil la o hecho por el administrador e implementar una pol tica de seguridad usando AutomatedBastille 8 Cap tulo 6 Fortalecimiento autom tico de sistemas Debian 70 71 Capitulo 7 Firma de paquete en Debian Este capitulo tambi n podria ser titulado como categotizar actualizar con seguridad a sus sitema Debian GNU Linux y este merece su propio capitulo b sicamente porque no ser acorde a alg n otro cap tulo A partir de hoy diciembre 2001 Debian no proporciona paquetes firmados en cuanto a la distribuci n de y la publicaci n de woody 3 0 no integrar este art culo Existe una soluci n para paquetes firmados que seg n se espera ser n proporcionados en la pr xima publicaci n 7 1 Elesquema propuesto para revisiones de firma de paquete El esquema corriente no implementado para firma de paquete usando apt es el archivo de publicaci n incluye el md5sum de Paquetes gz este contiene el md5sums de paquetes y ser firmado La firma es algo que pertenece a una fuente de confianza Este archivo de publicaci n firmado se baja por apt get update y almacenado en todo el HD con paquetes gz Cuando un paquete va a ser instala
4. deber a estar en una partici n separada Esto reduce el riesgo de un DoS por parte de un usuario al llenar su punto de montaje de y tornar el sistema inservible Nota esto no es estrictamente cierto dado que siempre hay alg n espacio reservado para el administrador el cual un usuario normal no puede llenar Cualquier partici n que pueda variar p e var especialmente var 10og tambi n de ber a estar en una partici n separada En un sistema Debian usted debe crear var un poco m s grande de lo normal debido a que los paquetes descargados el apt cache son guardados en var cache apt archives Esto es mucho m s importante para los Cap tulo 3 Antes y durante la instalaci n 22 servidores del correo var mail y o var spool mail ya que los usuarios remo tos pueden llenar la cola del correo intencionada o no intencionadamente Cualquier partici n donde usted quiera instalar un software fuera de la distribuci n debe estar en una partici n separada De acuerdo con la jerarqu a est ndar de archivos ser an opt o usr 1ocal Siestos directorios est n en particiones separadas no ser n borra dos si usted tiene que reinstalar Debian Desde el punto de vista de seguridad tiene sentido intentar mover los datos est ticos a su propia partici n y luego montar la partici n en modo s lo lectura Mejor a n ponga los datos en un medio de s lo lectura Ver m s detalles a continuaci n 3 3 Nose conect
5. o Signed by sigline else echo NO VALID SIGNATURE gt Release fi fi okaycomps for comp in comps do if Sty deb then X checkit echo S baseurl dists S dist comp binary S arch Release sed s g S comp binary S arch Release Y checkit echo S baseurl dists S dist comp binary S arch Packages sed s g S comp binary S arch Packages if SX SY OK OK then okaycomps Sokaycomps comp Cap tulo 7 Firma de paquete en Debian 76 else echo PROBLEMS WITH Scomp SX SY fi elif Sty deb src then X checkit echo S baseurl dists S dist S comp source Release sed s _ 9 S comp source Release Y checkit echo S baseurl dists S dist comp source Sources sed s g S comp source Sources if SX SY OK OK then okaycomps Sokaycomps Scomp else echo PROBLEMS WITH component S comp X SY fi fi done Sokaycomps echo o Okay Sokaycomps echo done echo Results echo cete echo allokay true cd tmp apt release check diff cat BAD MISSING NOCHECK OK sort cd var lib apt lists amp amp find type f maxdepth 1 sed s N g grep sort sed n s p gt UNVALIDATEDcd tmp apt release check if grep q UNVALIDATED then allokay false echo The following files in var lib apt lists have not been validated echo This c
6. o p rrafo explicando por qu la instalaci n estando conectado a Internet no es buena idea y c mo evitar esto usando las herramientas Debian Un pequefio p rrafo referenciando a un trabajo publicado en el IEEE sobre como aplicar a tiempo parches de seguridad Un ap ndice sobre como montar una m quina snort Debian basada en lo que Vladimir envi a la lista de seguridad de debian security 3 de septiembre de 2001 Informaci n sobre como logcheck se monta en Debian y como puede ser usado en el sistema HIDS Informaci n sobre la contabilidad del usuario y los beneficios de los an lisis Se incluy la configuraci n apt conf para leer nicamente usr copiado del correo de Olaf Meeuwissen a la lista de correos debian security Cap tulo 1 Introducci n 8 Nueva secci n en VPN con algunas indicaciones y paquetes disponibles en Debian se necesita contenido de como establecer VPNs y problemas espec ficos de Debian basado en los env os de Jaroslaw Tabor y Samuli Suonpaa a la lista debian security Una corta nota con respecto a alg n programa que autom ticamente construye jaulas para el cambio de directorio ra z Nuevo art culo FAQ con respecto a identd basado en una discusi n en la lista de correo debian security febrero 2002 empezado por Johannes Weiss Nuevo art culo FAQ con respecto al inetd basada en una discusi n en la lista de correo debian security febrero 2002 Se introdujo
7. ras de debian y autores upstream generalmente dentro de d as o incluso en horas Despu s de que el bug es fijo un nuevo paquete se proporciona en http security debian org Ponga la l nea siguiente en sus fuentes la lista y usted conseguir la seguridad que se pone al d a autom ticamente siempre que usted ponga al d a su sistema deb http security debian org debian security stable updates main contrib non free La mayor a de las personas que no viven en un pa s que prohibe la importaci n o usa la crip tograf a fuerte debe agregar esta l nea tambi n deb http security debian org debian non US stable non US main contrib non f Si le gusta usted puede agregar las l neas del deb src tambi n a apt Vea apt 8 para detalles extensos Usted debe dirigir la seguridad frecuentemente que se pone al d a la inmensa mayor a de resultado de explotaciones de vulnerabilidades conocidas que no se han remendado a tiempo cuando un nombre de http www cs umd edu waa vulnerability html name papel por Bill Arbaugh gt present en el 2001 Simposio de IEEE en Seguridad y Re tiro explica ARREGLAME A ade info c mo la firma de paquetes que se hace para que esto pueda hacerse autom ticamente a trav s de un trabajo del cron engafia grandemente DNS 4 7 Acceso de acuerdo a las necesidades del usuario 4 7 1 Uso de la autenticacion PAM PAM modulos de autenticaci n de enchufes permiten a los administradores de
8. symlinked to 1d 2 1 3 so lib libc so 6 symlinked to libc 2 1 3 so sbin ldconfig may be deleted after setting up the chroot sbin named xfer if you do name transfers var run ARREGLAME merge info from http www cryptio net ferlatte config Debian specific and http www psionic com papers whitep01 html 5 9 Asegurando Apache ARREGLAME Add content Usted puede limitar el acceso a el servidor Apache si si usted quiere usar esto solo interna mente para objetivos de prueba para tener acceso al archivodoc cent ral etc y si no quiere que extrafios tengan esto Para hacer esto use el Listen o BindAddress dirigidos en etc apache http conf Usando Listen Listen 127 0 0 1 80 Usando BindAddress BindAddress 127 0 0 1 Luego reinicie Apache con etc init d apache restart y vera que esto es de solo Au dici n en la interfaz loopback De todos modos que usted no este usando todo lo funcionamiento suministrado por Apache usted podria querer dar un vistazo a otro servicio de la web proporcionados en Debian como dhttpd Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 62 La Apache Documentation http httpd apache org docs misc security tips html proporciona informaci n relacxionada con las medidas de seguridad que deben ser tomadas en el servidor web del Apache esta misma informaci n est suministrada en Debian por el paqueteapache doc 5 10 Asegurando finger Si u
9. 168 1 24 Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 59 listen on 192 168 1 2 forward only forwarders A B C D y La opci nlisten onhace el bind DNS solo para la interfaz que tiene la direcci n interna pero si esta interfaz es la misma como la interfaz que se conecta a Internet por ejemplo si usted est usando NAT las dudas seran solamente aceptadas si llegan desde su servidor interno Si el sistema tiene multiples interfaces y el listen on no est presente solamente los usuarios internos podrian pregutar ya que el puerto seria accesible para los atacantes exteriores ellos podrian tratar de arrojarlo al servidor DNS o explotar el amortiguador desbordandose agresivamente Usted aun podr a leer esto en 127 0 0 1 si usted no est dando el servicio DNS por ningun otro sistema que el de usted mismo El registro version bind en la clase caos contiene la versi n del proceso bind que se est eje cutando Esta informaci n es frecuentemente usada por dispositivos automaticos e individu os maliciosos que desean determinar si el bind de uno es vulnerable a un ataque espec fico Para proporcionar falsa o negativa informaci n en el registro de la version bind uno limita la probabilidad que un servidor pueda ser atacado basandonos en la versi n publicitaria Para suministrar su proia versi n utilice la version dirigida de la siguiente manera options
10. 23 39 3 curses base 5 0 6 0potatol curses bin 5 0 6 0potatol etbase 3 18 4 passwd 19990827 20 pciutils 2 1 2 2 ii ii ii ii 11 ld ii ii perl 5 6 1 perl base perl modul 5 5 6 1 5 les 5 6 1 5 php4 4 0 6 4 php4 mysql 4 0 6 4 ppp 2 3 11 1 4 pppconfig 2 0 5 procps 2 0 6 5 psmisc 19 2 TE ii ii ii pump 0 7 3 2 sed 3 02 5 setserial 2 17 16 shellutils 2 0 7 II Il ii ii slangl 1 3 9 1 snort 17 9 ssh 1 2 3 9 3 sysklogd 1 4 1 2 ii ii ii Ii ii II ii ii syslinux 1 48 2 sysvinit 2 78 4 tar 1 13 17 2 tasksel 1 0 10 tcpd 7 6 4 telnet 0 16 4potato 1 textutils 2 0 2 update 2 11 1 util linux 2 10f 5 1 zliblg 1 1 3 15 Cap tulo C Montar un IDS aislado 125
11. 54548 Mar 15 13 00 libz so 1 rwxr xr x 1 root root 23096 Mar 15 15 37 sftp server 4 7 7 Manual de auditor a del usuario Si usted es paranoico usted podr a querer agregar a los usuarios una definici n profile que pone el ambiente en cierto modo tal que ellos no pueden retirar las capacidades de la auditor a de la interfaz de comandos los comandos son descargas a SHISTFILE El profile podr a ponerse como sigue HISTFILE home user bash history HISTSIZE 100000000000000000 HISTFILESIZE 10000000000000000 set HISTFILE set o HISTSIZE set o HISTFILESIZE export HISTFILE HISTSIZE HISTFILESIZE Note el o atribuye colocar una variable leer nicamente en bash Para trabajar esto el usuario no pueden modificar el profile o bash history pero debe poder primero leer uno y escribe uno en el segundo Usted puede hacer esto f cilmente cam biando stos archivos y el directorio d nde ellos residen para ser pose dos por otro usuario root y da escritura a los permisos del grupo de usuarios a la historia del archivo Otra opci n est terminando el uso del programa chattr Si usted es completamente paranoico y quiere intervenir en el comando de cada usuario usted podr a tomar bash a el c digo de la fuente revise este y haga env o a todos de que el usuario tecle en otro archivo O tiene ttysnoop constantemente algun nuevo monitor ttys y dump en el rendimiento en un
12. Capacidades de Linux dentro del paquete 1cap soporte IPSEC en el kernel dentro del paquete kernel patch freeswan a kernel patch int 4 13 Transferencia segura de archivos Copiar los archivos de una manera segura desde un computador a otros puede ser logrados us ando scp que est incluido en el paquete ssh Esto funciona como rcp pero es completamente encriptado as los tipos malos ni siquiera pueden averiguar QUE copia usted 4 14 L mites y control de los sistemas de archivos 4 14 1 Uso de Quotas Tener una buena pol tica de quotas es importante esto abstiene a los usuarios de llenar el disco duro Usted puede usar dos sistemas diferentes de quotas quota de usuario y quota de grupo Como usted provablemente dedujo la quota del usuario l mita la cantidad de espacio del que un usuario puede disponer la quota del grupo hace lo equivalente para los grupos Tenga en cuenta sto cuando est organizando el tama o de quotas Hay algunos puntos importantes para considerar acerca de la configuraci n del sistema de quotas Mantener las quotas suficientemente peque as para que los usuarios no ocupen el espa cio de su disco Mantener las quotas lo suficientemente grandes para que los usuarios no se quejen o su quota de correo les impida aceptar un correo por un periodo de tiempo largo Use las quotas para todas las reas en las que los usuarios puedan escribir en home como tambi n en tmp Cap
13. Colocar una contrasef a de root Administrador de Linux Colocar una buena contrasefia a root es el m s b sico requerimiento para tener un sistema seguro 3 5 Activar contrase as shadow y md5 Al final de la instalaci n se le preguntar si las contrasefias shadow deben ser habilitadas Responda con un SI a esta pregunta y as las contrasefias se mantendr n en el archivo etc shadow Solo el usuario root y el grupo shadow tienen acceso de lectura a este archivo as Cap tulo 3 Antes y durante la instalaci n 23 que los usuarios no estar n autorizados a realizar una copia de este archivo con el objeto de ejecutar un decodificador de contrasefias Usted puede cambiar entre las contrasefias shadow y las contrasefias normales en cualquier momento utilizando shadowconfig Adem s durante la instalaci n se le preguntar si quiere usar las contrasefias con una funci n MD5 aplicada Esto es generalmente una muy buena idea ya que permite unas contrasefias m s extensas y una mejor encriptaci n Lea m s acerca de las contrase as shadow en Shadow Password http www linuxdoc org HOWTO Shadow Password HOWTO html usr share doc HOWTO en txt Shadow Password txt gz 3 6 Ejecute el m nimo n mero de servicios requeridos Los servicios son programas tales como los servidores de ftp y los servidores web Ya que ellos deben estar escuchando las conexiones entrantes que requieren el servicio computadores externos podr n
14. DEBUID e oe gd Rok ere E Pace ex ex RO we ee ek RO 2 1 4 Lo que falta escribir ARREGLAME PORHACER ees 3 15 Listado de cambios Historia ri A AA a 5 kole VEIA Ao on aa E AAA Sas S UR da A RO 5 1 5 8 VEIA 2 3 cs a AA A e Ex dI e 5 1 5 9 VSN es nud eee ee De ee ee Rede b E ed ede ees 6 L4 VETSION 2 S seek lE kong als Sore x Sacks oS eum Ru X A Een V 6 1 5 5 Versi n 2 l s cece og a eae dee a hom xode x x xd Exo e e we 6 1 9 6 Verein ZU c zu ee ee A Men AR eur QN ees 7 Los Vero cu sare kong DAD bs Oe Se da vs 8 10 0 Versi n 198 escocia arts el EPR Rea he Seed eS 8 LoS VSB LI c nuu irga ee eee BES ES BO EH ee ee eS 9 LSO Version LB aux aereas Seeks Od Ge eed vod 9 loll WVersioB LIS escocia Ye ee Rd S EP RRM he 4er GR Hs 9 1 5 12 VOTO ISA ud dk eee BES ES BO EH AR ee eS 9 1 5 19 Verid 1 9 ee n cup opu as Seeks Seed Ge ad WO 9 15 14 Versi n LIZ Loos oo EX ERG ER ES RES URGE CE AGER SERS deg 10 A VELA ad dr e 10 1516 Versi n lea o Rom Pes Ble a e de a dea 10 12517 Versi n LB 4 xxx ara X bor 3 11 NDICE GENERAL I 10 049 VISIO cues xe doen RE REESE A d oen deg 11 La 75 0 LG PEE IC eae e Orel PDT 11 Ji VEO scu EE XE RE RDA EELS A d aer BS 12 loh Version Due es kou d so AAA Re D ew uo pec 12 LOO e eh We qoot dose Se Por doo des Mob doa dux dud 12 eee NORIO T eis oS ea Yo AE Gp RR hero OE deg oe qe 12 Jo VSN ae v3 A EAT Be Se AO ER PLUGS x a 12 12095 VIDET gt p ed AO NIRE EUER er E
15. a para incrementar su seguridad r pidamente usted no deber venir y sacarlo ileso Jugando alrededor con PAM Como se dijo en el articulo phrack 56 PAM lo agradable con PAM es que usted est limitado nicamente por lo que pueda pensar es verdad imagine la ra z del inicio de sesi n nicamente posible con revisi n de impresi n o eye scan o cryptocard porque yo aqui hago una conjunci n OR y no AND Iniciaci n de sesi n fascista Yo diria que que todo lo que nosotros hemos hablado acerca de login es un sueve inicio de sesi n si usted quiere ejecutar una sesi n real tome una impresora con papel fanfold y registre todo lo complicado para imprimir sobre el Los sonidos divertidos son confiables y no pueden ser removidos Distribuci n de CD Esta idea es muy f cil de realizar y ofrece muy buena seguridad Crear una distribuci n de un endurecido Debian con propias reglas de barrera hace Cap tulo 9 Antes del compromiso 90 imagenes ISO de este y surgen sobre un CD lo hace iniciable sta es una lectura nica de distribuci n con cerca de 600 MB para servicios y es imposible para introductores y asi poder empezar a leer escribir el acceso sobre el sistema Solo asegurese siempre de los datos los cuales deben escribirse sobre wires De todas formas el introductor no puede cambiar las reglas de barreara distribuyendo entrdas o iniciar propios demonios el tiene la capacidad ya que reinicia y ti
16. a trav s de los archivos etc init d los cuales son llamados al momen to de entrar a trav s del mecanismo SysV o una alternativa mas por usar conexiones del sistema en etc rc d para mas informaci n sobre como hacer la lectura usr share doc sysvinit README runlevels gz Si usted aun desea tener algunos servicios para usarlos de vez en cuando use los comandos de update e g update inetd y update rc d para eliminarlos del proceso de inicio 3 6 1 Deshabilitar los demonios Incapacitar un demonio o servicio es muy sencillo Hay diferentes m todos Cap tulo 3 Antes y durante la instalaci n 24 a Eliminar las conexiones de etc rc runlevel d o renombrar las conexiones as que ellos no empezar n con S Mover el archivo de escritura etc init d service name a otro nombre por ejemplo etc init d OFF service name Eliminar la marca de ejecuci n del archivo etc init d service name Editar el fichero etc init d service name para que ste se pare nada m s eje cutarse Usted puede eliminar estas conexiones de etc rc runlevel d manualmente o usan do update rc d ver update rc d 8 Por ejemplo Usted puede inhabilitar un servicio de ejecuci n en los niveles haciendo update rc d stop XX 2 34 5 Por favor note que si usted no est usando file rc update rc d f service remove no trabajara adecuadamente ya que todas las conexiones son removidas cuando se re alice
17. acceso etc Adem s este instala autom ticamente algunas herramientas que deber an realzar la se guridad de cierta manera herramientas de detecci n de intrusi n herramientas de an lisis de Cap tulo 6 Fortalecimiento autom tico de sistemas Debian 68 seguridad etc Harden instala los siguientespaquetes virtuales en otras palabras nicamente no satisface dependencias en otros harden tools herramientas para realizar el sistema de seguridad revisores deintegri dad detecci n de intrusi n los parches del kernel harden doc proporciona este mismo manual y otra documentaci n de seguridad rela cionada con paquetes harden environment Ayuda a configurar un entorno fortalecido normalmente va cio harden servers remueve a los servidores insegurosporalguna raz n a harden clients removes clients considered insecure for some reason harden remoteflaws removes packages with known security holes that could be used by a remote attacker to compromise the system uses versioned Conflicts harden localflaws removes packages with known security holes that could be used by a local attacker to compromise the system uses versioned Conflicts harden remoteaudit tools to remotely audit a system Tenga cuidado porque si usted tiene un software que necesite y usted no desea desinsta larlo por ninguna raz n y este se contradice con alguno de los otros paquetes antedichos usted no
18. algunos ARREGLAMEs 1 5 21 Versi n 1 4 Se revisaron algunos setuid peque os Cambios menores Seaverigu como usar sgm12txt f para la versi n txt 1 5 22 Versi n 1 3 Se a adi una actualizaci n de seguridad despu s del p rrafo de la instalaci n Se a adi un p rrafo del proftpd En sta ocasi n se escribi algo sobre XDM disculpas por el anterior 1 5 23 Versi n 1 2 Muchas correcciones de gram tica por James Treacy nuevo p rrafo de XDM 1 5 24 Versi n 1 1 Errores ortogr ficos cambios varios Cap tulo 1 Introducci n 19 1 5 25 Versi n 1 0 1 6 Versi n inicial Cr ditos y agradecimientos Alexander Reelsen escribi el documento original Javier Fern ndez Sanguino a adi a n m s informaci n al documento original Robert van der Meulen aport los p rrafos de quota y muchas buenas ideas Ethan Benson corrigi los p rrafos de PAM y sugiri buenas ideas Dariusz Puchalak hizo contribuciones a muchos cap tulos Gaby Schilders contribuy a una buena idea de Genio Paranoia Era Eriksson resolvi problemas de idioma en muchos lugares y contribuy al ap ndice de la lista de comprobaciones Philipe Gaspar escribi la informaci n de LKM Yotam Rubin contribuy a los ajustes de muchos fallos ortogr ficos as como a la infor maci n con respecto a las versiones de bind y las contrase as md5 Todas las personas que hicieron sugerencias que ev
19. atacantes porque el cracker puede confundirse al no ser capaz de borrar un un archivo De todos modos nunca deber a asumir que el cracker es ciego Despe s de toso ha entrado en su sistema Note que lsattr y chattr estan disponibles solamente en los sistemas de archivos ext2 Cap tulo 4 Despu s de la instalaci n 49 4 14 3 Integridad de su sistema de archivos Est usted seguro de que el bin login en su disco duro es todav a el binario que instal all hace unos meses Qu pasar a si es una versi n hackeada que guarda la contrase a intro ducida en un archivo oculto o la env a por un correo claro pro todoel internet El unico m todo para tener alguna protecci n es comprobar sus archivos cada dia hora mes yo prefiero cada d a comparando la vieja md5sum y la actual Dos archivos no pueden tener la misma md5sum de modo que anda sobre seguro aqu excepto alquien que hacke el al goroitmo para crear md5sums un la m quina Esto es bueno extremadamente dif cil y muy improbable Realmente usted deber a considerar que auditar sus binarios es muy importante ya que es un modo f cil para reconocer los cambios en sus binarios Las herramientas que com nmente se uaan para sto son sXid AIDE Ambientaci n Avanzada de Detecci n de Intrusos TripWire no es libre la nueva versi ser GPL integrit y samhain Instalando debsums ayudar a revisar la integraci n de los archivos del sistema para comparar el md5sum
20. de modo que casi cualquiera podr a leer su correo a partir de ahora En lugar de esto use SSL Capa segura de Sockets para recibir su correo La otra alternativa es ssh si tiene una cuenta shell en la m quina que actua como el servidor POP o IMAP Este es un ejemplo b sico fet chmailrc para demostrar esto poll my imap mailserver org via localhost with proto IMAP port 1236 user ref there with password hackme is alex here warnings 3600 folders Mail debian preconnect ssh f P C L 1236 my imap mailserver org 143 1 ref my imap mailserver org sleep 15 dev null dev null Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 58 La preconexi n es la l nea m s importante Este lanza una sesi n ssh y crea el tunel nece sario el cual automaticamente env a las conexiones para tener acceso a localhost puerto 1236 al servidor de correo IMAP pero codificado Otra posibilidad seria usar el fet chmail con la caracteristica ssl Si usted quiere suministrar un servicio de correo codificado como POP e IMADapt get install stunnel e inicie sus demonios de esta es la forma stunnel p etc ssl certs stunnel pem d pop3s 1 usr sbin popd Este comando encapsula al demonio proveido I en el puerto d y usa el certificado ssl especificado p 5 8 Asegurando BIND Hay diferentes consideraciones que puede implementar para asegurar el demonio de servidor de nombres las cuales son similares a las mismas que
21. en Debian no pueden ser desactivados al modificar los archivos en etc default servicename ARREGLAME Proporcionar mas informaci n sobre el manejo de demonios usando file rc Cap tulo 3 Antes y durante la instalaci n 25 3 6 2 Deshabilitar los servicios inetd Usted debe parar todos los servicios innecesarios en su sistema como echo chargen discard daytime time talk ntalk y r services rsh rlogin y rcp los cuales son considerados ALTA MENTE inseguros en cambio use ssh Despu s de inhabilitarlos usted debe revisar si real mente necesita el demonio inetd Mucha gente prefiere usar los demonios en lugar de servicios de llamada via inetd En los ataques de Denial of service existen posibilidades en contra de in edt las cuales pueden incrementar la carga dela m quina tremendamente Si usted aun quiere ejecutar alg n tipo de servicio inedt utilize un demonio de inet m s configurable como xinetd o rlinetd Usted puede inhabilitar directamente los servicios por la edici n de etc inetd conf pero Debian proporciona una mejor alternativa para hacer esto update inet d el cual comenta los servicios de una forma que este pude f cilmente ser reactivado de nuevo Usted podr a elim inar el demonio telnet ejecutando estos comandos para cambiar el archivo de configuraci n y reiniciar el demonio en este caso el servicio telnet es inhabilitado usr sbin update inetd disable telnet Si usted quiere tener servicios escu
22. en conjunto Los problemas de Debian siempre son manejados abiertamente inclusive los relaciona dos con la seguridad Como dice en Debian Social Contract http www debian org social contract Nosotros no encubriremos los problemas mantendremos el reporte de la base de datos abierto para el p blico todo el tiempo Los reportes que los usuarios env en en l nea se colocar n inmediatamente para que sean visibles por otros Los temas de seguridad son discutidos abiertamente en la lista de correo debian security Los avisos de seguridad de Debian son enviados a listas de correo p blicas a las dos internas y externas y son colocadas en el servidor p blico Debian sigue los asuntos de seguridad atentamente El equipo de seguridad vigila muchas fuentes de seguridad relacionadas siendo la m s importante Bugtraq http www securityfocus com cgi bin vulns pl a la b squeda de paquetes con problemas de seguridad que puedan estar inclu dos en Debian Las actualizaciones de seguridad son la principal prioridad Cuando surge un proble ma de seguridad en un paquete Debian la actualizaci n de seguridad es preparada tan r pido como es posible y distribu da para nuestras publicaciones estables e inestables incluyendo todas las arquitecturas La informaci n referente a la seguridad es centralizada en un solo punto nttp security debian org Debian siempre est tratando de mejorar en conjunto la seguridad de la distrib
23. este an lisis y perderse ARREGLAME De este p rrafo se espera que suministre mas informaci n acerca de la legali dad en el sistema Debian en un futuro venidero ARREGLAME hablar sobre como va a hacer un debsums en un sisema estable con el disco compacto md5sums con la recuperaci n de un sistema de archivo restaurado en una distribu ci n separada 95 Cap tulo 11 Preguntas Frecuentes Este cap tulo introduce algunas de las preguntas m s comunes de la lista de seguridad de Debian Deber a leerlas antes de preguntar o la gente posiblemente le diga RTFM N T Read The Fucking Manual Lea el P to Manual 11 1 Laseguridad en el sistema operativo Debian 11 1 1 Es m s seguro Debian que X Un sistema es s lo tan seguro como su administrador es capaz de hacerlo La instalaci n pre determinada de Debian de servicios trata de ser segura pero puede no ser tan paranoica como la de otros sistemas operativos que instalan todos los servicios deshabilitados de manera predeter minada En cualquier caso el administrador del sistema necesita adaptar la seguridad del sis tema a su pol tica de seguridad local Para ver una recopilaci n de datos acerca de vulnerabili dades de seguridad de muchos sistemas operativos mire en http securityfocus com vulns stats shtml Le son tiles estos datos El servidor lista varios factores a considerar cuando se interpretan los datos y avisa de que los datos no pueden usarse para compar
24. fico sobre su servidor por usuario Y usted puede traer estadisticas ac erca del tr fico del usuario Homepage http ramses smeyers be useripacct Cap tulo 9 Antes del compromiso 88 FreeS WAN Si usted quiere usar IPSec con Linux usted necesita este parche Usted puede crear VPNs con esta facilidad igual para las m quinas de windows como IPSsec el cual es un estandard com n Homepage http www freeswan org 9 3 Evitando rootkits 9 3 1 LKM Loadable Kernel Modules m dulos cargables en el n cleo LKM Loadable Kernel Modules son archivos que contienen dinamicamente modulos caragables del n cleo Ellos son din micamente cargables en el n cleo para avanzar en tareas asignadas SobreGNU Linux son usadas para expandir la funcionalidad del n cleo se pueden tomar grandes ventajas usando LKMs como habiamos dicho ellospueden ser dinamicamente cargables sin la recopilaci n del n cleo total puede ser usado para especificar dispositivos de drivers o archivos del sistema y otros drives de hardware como tarjetas de sonido tarjetas de red Pero algunos crackers deben usar LKMs para rootkits knark y adore para instalar puertas traseras en los sistemas de GNU Linux LKM rootkits pueden esconder procesos archivos directorio y las mismas conexiones sin mod ificar el origen de c digos binarios Porejemplo ps puede tomar procesos de informaci n des de proc un malicioso LKM puede derrocar el n cleo paraesconder el
25. hace que tiger avance cada d a y g nere un reporte el cual es enviadao hacia el super usuario Los reportes generados pueden darse a trav s de la informaci n de un cuidadoso compromiso del sistema Hay tambi n un n mero de registros de auditorias de herramientas en el site como logcheck Estas herramientas pueden ser absolutamente usables si se garantiza propiamente para alertar al administrador sobre eventos inusuales en el sistema de archivos locales logcheck pude ser enteramente garantizado pude enviar mensajes desde eventos recuperados y desde los registros que son meritorios de atenci n El abandono de instalaci n incluye perfiles para eventos ignorados y violaciones pol ticas para tres diferentes montajes estaci n de trabajo servidor y paranoia Los paquetes de Debian incluyen un archivo de configuraci n etc logcheck logcheck conf dirigido por el programa que define al usuario y que tambi n revisa sus envios Tambi n suministra una forma de paquete que provee servi cios para implementar nuevas pol ticas en los directorios etc logcheck hacking d packagename etc logcheck violations d packagename etc logcheck violations ignore d packagename etc logcheck ignore d paranoid packagename etc logcheck ignore d server packagename and etc logcheck ignore d workstation _packagename_ Sin embargo no muchos paque tes lo hacen actualmente Si usted tiene una pol tica que puede ser til para otros usuarios p
26. la captura de todo la llegada del trafico de red para honeypot y para detectar ataques osh el cual puede ser usado para montar una restricci n de comandos de interfase con el inicio de sesi n mire el bajo Lnce Spitzener Claro que si todos los servidores para su falso servidor honeypot usted se los puede imaginar pero no haga duro el not honeypot y tambi n los falsos servicios suministrados por dtk si usted necesita usar el honeypot tambi n como un servicio de detecci n de intrusi n Chequeadores integrales vea Integridad de su sistema de archivos en la p gina 49 y los toolkit de Coroners y tct para hacer una auditoria de post ataque Usted puede leer m s acerca de la construcci n de honeypots en el excelente art cu lo de Lanze Spitzner para construir un honeypotlo Build a Honeypot http www net security org text articles spitzner honeypot shtml desde las se rie conocidad de su enemigo o la construcci n de su propio honeypot de David Raikow Building your own honeypot http www zdnetindia com techzone resources security stories 7601 htm tambi n el proyecto de honeynet Honeynet Project http project honeynet org es dedicado para la construcci n de honeypots y auditorias de ataques hechos para ellos sta es una informaci n valios sobre como montar un honeypot y resultados de auditor a de un ataque mire el concurso N T es un equipo f cil de acceso el cual permite al acceso de c
27. la contrasefia actue entre maquinas usted deberia considerar usar otras alternativas Por ejemplo usted puede colocar un servidor LDAP y configurar PAM en su sis tema para contactar el servidor LDAP para la autenticaci n del usuario Usted puede encontrar una detallada organizaci n en el LDAP HOWTO http www linuxdoc org HOWTO LDAP HOWTO html usr share doc HOWTO en txt LDAP HOWTO txt gz Lea mas sobre la seguridad en NIS HOWTO http www linuxdoc org HOWTO NIS HOWTO html usr share doc HOWTO en txt NIS HOWTO txt gz ARREGLAME jfs Add info on how to setup this in Debian 5 14 Desactivar los servicios RPC Usted deberia desactivar donde quiera que sea posible Muchas fallas seguras de este sevicio son conocidas y pueden ser f cilmente exploradas Por otra parte los servicios NFS son total mente importantes en algunas redes de esta manera usted encontrara un balance de seguri dad y utilidad en su red El DDoS distribuci n negativa del servicio ataca el uso de RPC que son explotados para entrar en el sistema y actuar tanto como el llamado agente manipulador Lea mas sobre la seguridad NFS en NFS HOWTO http www linuxdoc org HOWTO NFS HOWTO html usr share doc HOWTO en txt NFS HOWTO txt gz Inhabilitar el paquete portmap es super sencillo Hay diferentes m todos Uno de los m s sen cillos en un sistema Debian 3 0 es hacer un desinstalamiento del paquete portmap Si usted Cap tulo 5 Asegurando los servicios que se eje
28. la zona a menos que este sea un secundario o un servidor llamado cache Si este es su ca so usted tendra que dar permiso de lecto escritura a las zonas necesarias asi como la zona transferida desde los tarbajos del servidor primario Si usted quiere leer mas informaci n sobre porque BIND no corre como el usuario non root so bre los sistemas Debian por favor revise el sistema Bug Tracking relacionado a BIND espec ficamente Bug 50013 bind should not run as root ht tp bugs debian org 50013 Usted tambi n puede encontrar mas informaci n con respecto al cambio de raiz de BIND Chroot BIND HOWTO http www linuxdoc org HOWTO Chroot BIND HOWTO html analizar Bind 9 y Chroot BIND8 HOWTO http www linuxdoc org HOWTO Chroot BIND8 HOWTO html analizar Bind8 Estos mismos documentos deberian d e u named Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 61 estar disponibles a traves de la instalaci n de doc linux text versi n de texto o doc linux html versi n html Si usted est instaurando un aseguarmiento del cambio de directorio raiz completo i e no solo t para BIND 8 2 3 en Debian potato asegurese de tener los siguientes archivos en dev log syslogd should be listening here dev null etc bind named conf etc localtime etc group with only a single line named x GID etc ld so cach generated with ldconfig lib 1d 2 1 3 so lib libc 2 1 3 so lib ld linux so 2
29. libcrypt so 1 rw r r 1 root root 9436 Mar 15 12 49 libdl so 2 rw r r 1 root root 248132 Mar 15 12 48 libncurses so 5 rw r r 1 root root 71332 Mar 15 13 00 libnsl so 1 rw r r 1 root root 34144 Mar 15 16 10 libnss files so 2 rw r r 1 root root 29420 Mar 15 12 57 libpam so 0 rw r r 1 root root 105498 Mar 15 12 51 libpthread so 0 fw r r 1 root root 25596 Mar 15 12 51 Ixbrt so 1 rw r r 1 root root 7760 Mar 15 12 59 libutil so 1 rw r r 1 root root 24328 Mar 15 12 57 libwrap so 0 usr total 16 root root 4096 Mar 15 13 00 guest guest 4096 Mar 15 16 53 root root 4096 Mar 15 15 55 bin root root 4096 Mar 15 15 37 lib drwxr xr x drwxr xr x drwxr xr x N N 00 gt drwxr xr x usr bin total 340 drwxr xr x 2 root root 4096 Mar 15 15 55 drwxr xr x 4 root root 4096 Mar 15 13 00 rwxr xr x 1 root root 10332 Mar 15 15 55 env rwxr xr x l root root 13052 Mar 15 13 13 id r xr xr x 1 root root 25432 Mar 15 12 40 scp rwxr xr x l root root 43768 Mar 15 15 15 sftp r sr xr x 1 root root 218456 Mar 15 12 40 ssh rwxr xr x 1 root root 9692 Mar 15 13 17 tty usr lib Cap tulo 4 Despu s de la instalaci n 39 total 852 drwxr xr x 2 root root 4096 Mar 15 15 37 drwxr xr x 4 root root 4096 Mar 15 13 00 rw r r 1 root root 771088 Mar 15 13 01 libcrypto so 0 9 6 rw r r 1 root root
30. libs o lo que sea dentro de un old directory o puede renombrar marcar o lo que sea Cap tulo 9 Antes del compromiso 91 Note que esto lo previene de hacer una actualizaci n de los paquetes de su sistema Dado que los archivos que ellos suministran no pueden ser sobre escritos y usted debe tener un mecanismo para desactivar la bandera de inmutable sobre todos los binarios antes de unapt get update 9 4 1 Construyendo un equipo trampa ARREGLAME Mas contenido espec fico necesario para Debian Si usted desea y tambi n puede implementarlo y dedicarle tiempo usted puede mintar todo un equipo trampa del ingl s honeypot usando un sistema de Debian GNU Linux Usted tiene todas las herramientas necesarias en orden para montar toda la red trampa N T del ingl s honeynet el honeypot es s lo el servidor falso el cortafuegos los detectores de intrusi n y el servidor falso Sea cuidadoso Sin embargo tiene que estar bien seguro de que sea alertado a tiempo vea la importancia del registro y las alertas en la pagina 36 La importancia de logs y alarmas en la p gina 41 usted debe tomar la medida apropiada y terminar el compromiso tan pronto como haya visto suficiente Los siguientes paquetes le pueden ser de utilidad la tecnolog a del cortafuegos usted la debera necesitar suministrado por Linux Kernel syslog ng para enviar el registro desde el honeypot hacia una m quina de servidor remota snort para montar
31. los servicios desde etc services estoy en lo cierto No etc services solo suministra un mapping desde un nombre virtual a un acceso num rico dado removiendo nombres desde usualmente donde no haya que impedir ser vicios al ser iniciados Algunos demonios no podr n funcionar si etc services ha sido modificado pero sta no es la norma y no es la v a recomendable para hacerlo observe De shabilitar los demonios en la p gina 23 11 1 15 He perdido mi password y no puedo tener acceso al sistema Usted necesita seguir unos pasos para recuperar su password y este depende desi usted ha aplicado o no el procedimiento para limitar el acceso a Lilo y BIOS Si usted ha limitado a ambos Necesita desactivar las caracter sticas de BIOS h galo solo desde el disco duro antes de proceder adem s si usted olvida el password de BIOS tendr que abrir el sistema y eliminar la bater a BIOS manualmente Si usted tiene un bootup en la unidad de cd rom o en un disco habilitado usted puede inicie desde un disco de rescate e inicie el kernel despl cese hasta la consola virtual Alt F2 a monte el disco duro en donde est su root edite El disco de rescate Debian 2 2 viene con ae Debian 3 0 viene con nano t iny el cual es similar a vi et c shadow y modifique la linea root asdfjl290341274075 XXXX X XXXX X X cualquier n mero para root XXXX X XXXX Xi Este remover la clave del administrador Usted puede in
32. password paranoia ooo 63 DA MR eae NIS sa 50 agod EC AAA ATA Aedes E 63 5 14 Desactivar los servicios KPC oso Re SRR RR BE Ree E RS 63 5 15 A adir capacidades al cortalucgos lt lt sus carsi dx ce e ur X ACE ew ORE x es 64 DIS Reglas plables iria e doa 64 5 15 2 El sistema local corta fuegos s socas RR emm n Re 65 5 15 3 Usar otros corta fuegos para proteger otros sistemas 65 5194 Paquetes gel Corta PHEPOS nca eoe ac e RR qe POD E 66 6 Fortalecimiento autom tico de sistemas Debian 67 DL Fortalecer harden uuo A E rk A UY OX ee NOR 67 DX Bastila AR hoe ede UR Ce BEE CMS anie dirae 68 7 Firma de paquete en Debian 71 7 1 El esquema propuesto para revisiones de firma de paquete 71 7 2 Alternativa firmar esquema por paquete oes es oro Re e 72 73 Revisar publicaciones de paguete a sa m yad i goe eo Xr xe en 72 NDICE GENERAL V 8 Herramientas de seguridad en Debian 79 8 1 Evaluaci n de herramientas de vulnerabilidad remota 79 82 Herramientas de revisi n de redes eee eeee 80 8 3 Audit r as intern s sul so sa sodi AA Ha Rey CRS 81 8 4 A dit r ade codigos fuente icu rogo a renka 81 55 Redes privadas VIRIUAMOS coole xe ER ER a 81 8 6 Public Key Infrastructure PKI Infraestructura de claves publicas 82 8 7 Herramientasantivirus gt c caosi p e na audy a E Ep R a o a a a 82 9 Antes del compromiso 85 9 1 Montar el de
33. podr usar totalmente el narden fortalecimiento Los paquetes harden no ejecu tan ninguna acci n directamente Sin embargo ellos poseen un paquete de conflictos inten cionales con paquetes inseguros conocidos De esta forma el sistema de embalaje de Debian no aprobar estos paquetes Por ejemplo cuando usted trata de instalar un demonio telnet con harden servers apt mostrar apt get instalar telnetd Los siguientes paquetes ser n REMOVIDOS harden servers Los siguientes paquetes nuevos sr n instalados telnetd Desea continuar y n Esto podr a causar algunas preocupaciones en la cabeza del administrador quien deber a re considerar sus acciones 6 2 Bastilla Linux Bastille Linux http www bastille linux org es una herramienta autom tica de for talecimiento originalmente orientada en torno a las distribuciones de Red Hat y Mandrake Cap tulo 6 Fortalecimiento autom tico de sistemas Debian 69 Linux Sin embargo el paquete bastille proporcionado en Debian desde woody es ar reglado para brindar la mima fucionalidad para el sistema GNU Linux Bastille puede ser utilizado con diferentes Frontends todos son documentados en su propio manual de p ginas en el paquete Debian los cuales capacitan al administrador para Responder las preguntas paso por paso considerando la seguridad deseada de su sistema usando InteractiveBastille 8 Usar un entorno por defecto para seguridad en medio de tres
34. puede transladar la palabra LISTEN a su configuraciones de los locales Cap tulo A El proceso de fortalecimiento es manejado paso a paso 114 Para eliminar los servicios innecesario primero determine como comienza y de que pa quete proviene Puede hacer esto f cil revisando el programa que escucha en ese puerto el siguiente ejemplo le dice como hacer uso de estas herramientas y dpkg bin sh ARREGLAME this is quick and dirty replace with a more robust script for i in sudo lsof i grep LISTEN cut da f 1 sort u do pack dpkg S i grep bin cut f 1 d uniq echo Service i is installed by Spack init dpkg L pack grep init d if z Sinit then echo and is run by S init fi done Una vez que usted encuentre servicios no deseados remueva el paquete con dpkg purge o si es til pero no deber a estar habilitado al inicio use update rc d vea Deshabilitar los demonios en la p gina 23 para removerlo del sistema de inicio Para los servicios inetd lanzado por el super demonio usted podr a revisar los servicios habilitados por ejemplo con grep v 4 etc inetd conf sort u e incapacitar aquellos que no sean necesarios comentando la l nea que los incluye re moviendo los paquetes o usando update inetd Si se tienen servicios de cubierta usando estos usr sbin tcpd revise que los etc hosts allow y etc hosts deny est n configu
35. sistema ele gir como usar la aplicaciones autenticadas Note que PAM puede hacer nada a menos que una aplicaci n es compilada con soporte para PAM La mayor parte de las aplicaciones que son enviadas con Debian 2 2 tienen este soporte construido Ademas Debian no tiene so porte PAM antes del 2 2 Cada aplicaci n con soporte PAM provee un archivo de configu raci n en etc pam d el cual puede ser usado para modificar este comportamiento La siguiente descripci n est lejos para completarla para mas informaci n usted podria quer er leer la guia de el sistema administrador Linux PAM http www kernel org pub linux libs pam Linux PAM html pam html en la principal distribuci n ubicada de PAM http www kernel org pub linux libs pam PAM le ofrece a usted la posibilidad a ir por varios pasos de autenticaci n una vez sin el uso de conocimientos Usted puede autenticar de nuevo una base de datos Berkeley y de nuevo el Cap tulo 4 Despu s de la instalaci n 33 archivo de password normal y el uso nicamente de registros en si correctamente autenticos en ambos Usted puede limitar a muchos con PAM as como usted puede abrir sus puertas del sistema muy extensamente As que tenga cuidado Una l nea de la t pica configuraci n tiene un campo de mando como su segundo elemento Generalmente debe ponerse a requisito el cual devuelve un fracaso del login si hay una falta en el m dulo La primera cosa que me gusta hacer es ag
36. son igual de capaces de analizar un sitio web y tratar de descubrir p ginas interactivas diponibles y que podr an ser atacadas Tambi n hay clientes Java y Win32 no incluido en Debian los cuales pueden ser usados para contactar el administrador Cap tulo 8 Herramientas de seguridad en Debian 80 Whisker es un scaner de evaluaci n de vulnerabilidad orientada a la web incluyendo t cticas anti IDS la mayoria de ellas no son mas anti IDS Este es uno de los mejores cgi scanners disponibles son capaces de detectar servidores de www y lanzar nicamente un conjunto de ataques dados en contra de este La base de datos usada para revisar puede ser modificada f cilmente para suministrar nueva informaci n Bass Bulk Auditing Security Scanner y Satan Security Auditing Tool for Analysing Net works deben ser pensados m s como programas de conceptos de prueba que como her ramientas que ser n usadas mientras se ejecutan las auditor as Ambos son absolutamente antiguos y no se mantienen hasta la fecha Sin embargo SATAN fue la primera herramienta para el suministro de una evaluaci n de vulnerabilidad que una simple herramienta GUI y Bass se mantiene como una herramienta de evaluaci n de alto desempe o 8 2 Herramientas de revisi n de redes Debian suministra algunas herramientas usadas para revisiones de servidores remotos pero sin evaluaci n de vulnerabilidad Estas herramientas son en algunos casos usadas por re visor
37. ssh1 pero se distribuye con una licencia mixta de c digo abierto cerrado OpenSSH es un demonio completamente libre que soporta tanto ssh1 como ssh2 La versi n instalada en Debian cuando se escoge el paquete ssh es OpenSSH Usted puede leer m s informaci n acerca de la configuraci n de SSH con PAM en el security mailing list archives http lists debian org debian security 2001 debian security 200111 msg00395 html 5 2 Asegurando Squid Squid es uno de los servicios m s populares de proxy cache y hay alunos problemas de seguri dad que deben tenerse en cuenta Por defecto Squid impide todas las solicitudes de los ususar ios Usted debe configurar Squid para permitir el acceso a los ususarios servidores o redes confiables o redes definidas en una Lista de Control de Acceso en etc squid conf mire la gu a del usuario de Squid en Squid User s Guide http squid docs sourceforge net latest html book1 htm para m s informaci n acerca de la definici n de las reglas ACL Adem s si no configur debidamente alguien puede enviar correo a trav s de Squid puesto que el dise o de los protocolos HTTP y SMTP es semejante El archivo de configuraci n Squid niega por defecto el acceso al puerto 25 Si desea permitir las conexiones del puerto 25 adi ci nelo a la lista Safe ports Sin embargo esto NO is recomendado Ajustar y configurar debidamente el proxy cache es solamente una parte para mantener su sitio seguro Otra tarea
38. various options here version Not available y Cambiar el registro de la version bind que no proporciona una protecci n actual en contra de los ataques pero este deber a ser considerado un salva guardia til Con respecto a limitar los privilegios de BIND usted debe darse cuenta que si un usuario del non root recorre Bind Bind no podra detectar las nuevas interfaces automaticamente Como por ejemplo si usted pone en un portatil una tarjeta PCMCIA Cambie el archivo README Debian en el directorio nombrado usr share doc bind README Debian para mas informaci n acerca de este uso Recientemente han habido muchos problemas de seguridad en lo que concierne a BIND y por esto es necesario cambiar el usuario util cuando sea posible Para correr BIND bajo un usuario diferente primero cree un usuario separado y un grupo para esto no es buena idea usar not nobody o nogroup para todo sevicio que no corra como raiz En este ejemplo el usuario y el grupo namedser n usados Usted puede hacer esto entrando a addgroup named adduser system ingroup named named Ahora edite etc init d bind con su editor favorito y cambie la linea comenzando con start stop daemon start Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 60 start stop daemon start quiet xec usr sbin named g nam Todo lo que usted necesita hacer ahora es reiniciar Bind etc init d bind y luego cambiar su syslog por dos entradas como e
39. www data backup Muchas funciones de copia restauraci n pueden ser delegadas a alguien sin privilegios completos de root operator Operator es hist ricamente y pr cticamente el nico usuario que puede ac ceder al sistema de forma remota y no depende de NIS NFS a list Los archivos de listas de correo y sus datos son de este usuario y grupo Algunos programas de listas de correo pueden ejecutarse tambi n con este usuario irc Usado por demonios de IRC Un usuario determinado se necesita nicamente por un error de ircd que hace SETUID s de si mismo a un UID determinado en el arranque gnats Cap tulo 11 Preguntas Frecuentes 102 nobody nogroup Los demonios que no necesitan ning n archivo se ejecutan con el usuario nobody y grupo nogroup As que no deber a existir ning n archivo de este usuario o grupo en el sistema Otros grupos que no tienen un usuario asociado adm El grupo adm se usa para tareas de monitorizaci n del sistema Los miembros de este grupo pueden leer muchos de los archivos de var 1og y pueden usar xconsole Hist ricamente var 1og eran usr adm y m s tarde var adm del mismo grupo tty Los dispositivos TTY son de este grupo Lo usan write y wall para escribir en los TTYs de otras personas disk Acceso directo a disco Mayormente equivalente al acceso de root kmem dev kmem y archivos similares son accesibles en modo lectura por este grupo Esto es may
40. De bian o por el sistema operativo en s mismo ver Estar enterado de los problemas de seguridad generales en la p gina 15 Cap tulo 2 Antes de empezar 20 21 Cap tulo 3 Antes y durante la instalaci n 3 1 Escoger una contrase a BIOS Antes de instalar alg n sistema operativo en su computador establezca una contrasefia BIOS Despu s de la instalaci n una vez se haya posibilitado la entrada desde el disco duro regrese a la BIOS y cambie la secuencia de arranque del sistema para impedir el arranque desde el disco flexible el CD ROM y otros dispositivos desde los que no se deber a arrancar De otro modo un cracker solo necesitar a acceso f sico y un disco de arranque para tener acceso a la totalidad de su sistema Inhabilitar El ingreso al programa sin una contrasefia es mejor Este puede ser muy efectivo si usted est administrando un servidor porque ste no es reiniciado muy frecuentemente El inconveniente para esta t ctica es que el ingreso requiere intervenci n humana la cual puede causar problemas si la m quina no es de f cil acceso 3 2 Escoger inteligentemente un esquema de partici n Un esquema de partici n inteligente depende de c mo sea usada la m quina Una buena regla para torpes es ser completamente tolerante con sus particiones y prestar atenci n a los sigu ientes factores Cualquier jerarqu a de directorios en la cual un usuario tiene permiso de escritura asi como home y tmp
41. Debian 107 11 3 1 Lo que es una Advertencia de Seguridad Debian DSA 107 11 3 2 La firma sobre de la advertencia de Debian no es verificada correctamente 108 11 3 3 Como se tratan los incidentes de seguridad en Debian 108 11 3 4 Cu nto tiempo tomar Debian para ajustar la vulnerabilidad 108 C mo es manejada la seguridad para prueba e inestable 109 11 4 1 Por qu no hay r plicas oficiales de security debian org 109 11 4 2 C mo puedo buscar el equipo de seguridad 109 11 4 3 Qu diferencia hay entre seguridad Debian org y la lista de seguridad corop A PP P 110 11 4 4 C mo puedo contribuir con el equipo de seguridad Debian 110 11 4 5 Qui nes componen el equipo de seguridad debian 110 NDICE GENERAL VII 11 4 6 La seguridad debian del equipo revisa los nuevos paquetes en debian 110 11 4 7 Yo tengo una antigua versi n sobre Debian est soportada la seguridad 111 A El proceso de fortalecimiento es manejado paso a paso 113 B Lista de chequeo de la configuraci n 117 C Montar un IDS aislado 121 NDICE GENERAL VIII Cap tulo 1 Introducci n Una de las cosas m s dificiles sobre los documentos de seguridad es que cada caso es nico Dos cosas a las que se debe prestar atenci n son la amenaza del entorno y las necesidades de seguridad tanto de cada parte individual com
42. GNU Linux incluso si no ha habido a n esperanzadoramente alg n virus que se haya podido extender ampliamente sobre cualquier distribuci n de Debian En cualquier caso los administradores deben buscar abrir una salida de antivirus o protejerse contra ellos Debian actualmente suministra las siguientes herramientas para la construcci n de ambientes de antivirus sanitizer http packages debian org sanitizer una herramienta que puede ser usada para filtrar emails desde procmail y eliminar virus Cap tulo 8 Herramientas de seguridad en Debian 83 amavis postfix http packages debian org amavis postfix un script que suministra una interfaz desde el agente de transporte de correo hacia uno o m s revi sores de virus este paquete lo suministra la versi n postfix Como usted puede ver Debian no sumninistra actualmente ning n programa de an tivirus por si mismo Hay sin embargo proyectos libres de antivirus los cuales en el futuro podr an ser incluidos en Debianopenantivirus http sourceforge net projects openantivirus pocas oportunidades para este dado que est basado com pletamente en Java Debian nunca suministrar software de antivirus comerciales como jvirus http sourceforge net projects jvirus Panda Antivirus http www pandasoftware com com linux linux asp NAI Netshield uvscan http www nai com naicommon buy try try products evals asp Sophos Sweep http www sophos com TrendMicro
43. Interscan http www antivirus com products RAV http www ravantivirus com para mas enlaces vea Linux antivirus software mini FAQ http www computer networking de link security av linux e txt Para m s informaci n sobre como montar un sistema detector de virus lea el art culo de Dave Jones construyendo un sistema detector de virus en su correo para su red Building an E mail Virus Detection System for Your Network http www linuxjournal com article php sid 4882 Cap tulo 8 Herramientas de seguridad en Debian 84 85 Cap tulo 9 Antes del compromiso 9 1 Montar el descubrimiento de intrusi n Debian incluye algunas herramientas para detectar intrusiones las cuales usted quisiera con figurar para montar la defensa de su sistema local si es verdaderamente paranoico o si su sistema es realmente cr tico o para defender otros sistemas en la misma red Siempre debe darse cuenta que para mejorar realmente el sistema de seguridad con la in troducci n de algunas de estas herramientas usted necesitara tener un mecanismo de aler ta respuesta pero no use el descubrimiento de intrusi n si usted no va a alertar a nadie i e no malgaste su tiempo configurando cosas que mas tarde no usara La maryor a de herramientas de descubrimiento de intrusi n sera tambi n registrada bajo sys log o enviar mensajes hacia el usuario root muchos de ellos pueden ser configurados para enviar correo a otros usuarios c
44. La seguridad en un sistema no puede ser hecho de cubiertas el corta fuegos deberia ser el ul timo en incluirse una vez todos los servicios hayan sido fortalecidos Usted puede f cilmente imaginar un plan en el cual el sistema est protegido solamente por un corta fuegos incorpo radoy un administrador blissfully que remueve las reglas del corta fuegos por cualquiera que sea la raz n problemas con la instalaci n molestias errores humanos este sistema abierto ampliamnete para un ataque 5 15 3 Usar otros corta fuegos para proteger otros sistemas Un corta fuegos de Debian tambi n puede ser instalado para proteger con reglas de filtraci n el acceso a los sistemas detras de este limitando sus exposici n en Internet Usted aun puede colocar un buzon Debian GNU Linux como un camino hacia el corta fuegos ie un filtrador de corta fuegos completamente transparente a la red puede hacer falta en la direcci n IP pudiendo ser atacado directamente Si usted no sabe mucho acerca del corta fuegos lea el Cortar fuegos howto que pueden ser encontrados en el doc 1inux text otros formatos del documento tambi n disponibles Vea Estar enterado de los problemas de seguridad generales en la p gina 15 para mas apuntes Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 66 5 15 4 Paquetes del Corta Fuegos Hay un software completo que pueden ser usados para colocar reglas de corta fuegos en un sistema Debian fwbu
45. M el archivo etc limits conf seignora y usted debe usar en cambio etc security limits conf ARREGLAME Adquirir unos buenos limites conf concluidos aqu 4 7 3 Editar etc login defs El pr ximo paso es revisar la configuraci n b sica y acci n en el login del usuario FAIL DELAY 10 Esta variable debe ponerse a un valor m s alto para hacerlo m s dif cil usar el t rmino para anotar usando la fuerza bruta Si una contrasefia mala se teclea en el posible asaltador o el usuario normal tiene que esperar por 10 segundos para conseguir un nuevo login que incite realmente el tiempo que se consume cuando usted prueba las contrasefias Preste atenci n al hecho que esta escena es in til si se usa el programa de otra manera que el getty como el mingetty por ejemplo FAILLOG ENAB yes Si usted habilita esta variable se anotar n los logins fallados Es importante guardar huella de ellos para coger a alguien que pruebe un ataque de fuerza bruta LOG UNKFAIL ENAB yes Si usted pusiera la variable FAILLOG ENAP asi entonces usted tambi n deberia poner esta variable a s Esto grabar el usernames desconocido si los login fallaron Si usted hace esto aseg rese de que los logs tienen por ejemplo permisiones 640 por ejemplo con una escena de grupo apropiada como el adm porque los usuarios entran en su contrasefia a menudo accidentalmente como el username y usted no quiere otro para verlo SYSLOG SU ENAB yes Este uno habilita
46. MOCKED lt a REARS ERS EEA RE EUR X cue ded 31 4 5 2 Serie usrleer nicamente c n 31 Ejecute una actualizaci n deseguridad o acre eR 32 Acceso de acuerdo a las necesidades del usuario Ln 32 4 7 1 Uso de la autenticacion PAM aaa a 32 472 Los limites de elarchivo conf gt ca cases noy sey e ees 35 4755 Editar SEE Og dels iuo euh a ov n Rom RO RE XC Ree AAA E 35 ATA DSO a ML nw ee we a es Ge E 36 Avo Usar Sudo sea os ba CA Gd Ga ee SRS Eh ae eo aa dal E 36 4 7 6 Resttingiendo usuarios gt a se s secca o ARA 36 4 7 7 Manual de auditor a del usuario a oaoa aa 000 eee 39 4 7 8 Completa auditor a del usuario lt lt oko o e o o e ey Re 39 4 7 9 Repasando los perfiles del usuario obs x 3o X Ox Ro 40 Proporcionando acceso seguro a los usuarios lt lt 22s a 40 4 8 1 Limitando lo que los usuarios pueden ver hacer 40 Usando Tepe TT 40 La importancia de logs y alarmas css eno e 41 4 10 1 Configurando el sitio donde las alertas son enviadas 41 4 10 2 UsarunservidordeTesislO lt lt eb smets Pea ee m Re 42 4 10 3 Permisos para el archivo de registro soos cn 9 es 43 Uso del cambio de directorio ra z 4s cakara awen MA us 43 ATLI COBDBEGNEION Kemmel oad x daa RO bare A dete nee YO 44 4 11 2 Caracter sticas de la red configurando kernel 44 4 11 3 Configuarci n de las caracter sticas de los cortafu
47. Manual de Seguridad de Debian Javier Fern ndez Sanguino Pe a lt jfs debian org gt Version 2 4 revisi n de traducci n 3 Tue 26 Apr 2005 04 11 41 0200 Resumen Este documento describe el proceso de asegurar y fortalecer la instalaci n original de Debian Cubre algunas de las tareas m s comunes al configurar un ambiente de red seguro usando Debian GNU Linux y tambi n muestra informaci n adicional acerca de las herramientas de seguridad disponibles as como el trabajo desarrollado por el equipo de seguridad de Debian Nota de Copyright Copyright 2002 2003 2004 Javier Fern ndez Sanguino Pefia Copyright 2001 Alexander Reelsen Javier Fern ndez Sanguino Pe a Copyright O 2000 Alexander Reelsen Traducci n inicial al espafiol realizada bajo la coordinaci n de Igor Tamara actualmente en estado de revisi n por Jaime Robles y Javier Fern ndez Sanguino NOTA esta traducci n a n no ha sido revisada por completo y puede tener a n muchos fallos ortogr ficos y de traducci n Si encuentra alguno no dude en enviarlo al autor del documento Este documento se distribuye bajo los t rminos de la Licencia de Documentaci n libre GNU http www gnu org copyleft gpl html Se distribuye con el deseo de que sea til pero sin NINGUNA GARANTIA ndice general 1 Introducci n 1 LL Obtenci n del manual sr mo e ncm cc I A REOR AE A RR 2 1 2 Notas Retroalimentaci n Organizaci n 2 64 zo o RR 2 15 CONCDIBBENIO
48. a adicional Demonios omite BIND Internet nombra el servicio esto no viene con un cambio de directorio ra z de hecho demonios no viene con un cambio de directorio ra z Este debe cambiar en el woody 3 0 release Tambi n hay alg n software no actualmente en Demonios pero el cual podr a estar disponible en el futuro que puede ayudar al arreglo del ambiente del cambio de directorio ra z Por ejemplo makejail puede crear y poner al d a un aseguramiento del cambio de directorio ra z con la canfiguraci n de pequefios archivos Tambi n intenta suponer e instalar dentro del aseguramiento todos los archivos requeridos por demonios M s informaci n en http www floc net makejail Jailer Es una herramienta similar la cual puede ser cobra da desde http www balabit hu downloads jailer 4 11 1 Configuarci n Kernel 4 11 2 Caracter sticas de la red configurando kernel ARREGLAME Content missing Muchas caracter sticas de kernel pueden ser modificadas ya que actualmente se repiten algu nas cosas dentro del sistema del arhivo proc o usando el sistema ctl Pra ingresar a sysct1 A puede mirar que debe configurar y que otras opciones hay Solamente en algunas cosas usted necesita editar algunas cosas aqu pero usted puede aumentar la seguridad que es un buen camino net ipv4 icmp echo ignore broadcasts 1 Este es un emulador de windows porque ste funciona como windows para que emita el sonido si uno de estos es establecido
49. a de zgv y era sencillo convertirse en root Intente evitar el uso de programas que usen SVGAIib siempre que sea posible Cap tulo 4 Despu s de la instalaci n 50 51 Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema Los servicios que corren en su sistema pueden ser asegurados de dos maneras Haci ndolos accequibles dentro de los puntos interfaces en los que tienen que estar Configur ndolos de una manera apropiada para que puedan ser debidamente usados por los usuarios leg timos de una manera autorizada Restringir los servicios de modo que solamente puedan ser accedidos desde un lugar dado puede ser hecho restringiendo el acceso al nivel del kernel i e cortafuego config relos s lo para escuchar en un interfaz dada algunos servicios no pueden suministrar sta caracter stica o usando otros m todos por ejemplo el parche linux vserver para 2 4 16 puede ser usado para forzar procesos de forma que usen solo una interfaz En cuanto a los servicios usados desde inetd telnet ftp finger pop3 cabe notar que inetd no puede ser configurado de forma que los servicios solo escuchen en una interfaz dada Sin embargo su sustito el metademonio xinetd incluye un bind justamente para ste problema Vea xinetd conf 5 Service nntp socket_type stream protocol tcp wait no user news group news server usr bin env server_args POSTING_OK 1 PATH usr sbin usr bin s
50. a eliminar este comportamiento usted necesita cambiar etc mkinitrd mkinitrd conf y colocar DELAY The number of seconds the linuxrc script should wait to allow the user to interrupt it before the system is brought up DELAY 0 Luego regenera su imagen del disco RAM Usted puede hacer esto por ejemplo con o cd boot mkinitrd o initrd img 2 4 18 k7 lib modules 2 4 18 k7 O hacer preferir dpkg reconfigure kernel image 2 4 x yz Note que DEBIAN 3 0 WOODY permite a los usuarios instalar 2 4 kernels seleccionan doflavors sin embargo el defecto de kernel es de 2 2 salvo para algunos artifices para los cuales Kernel 2 2 no estaba en la entrada Si usted considera esto un BUG considere el Bug 145244 http bugs debian org 145244 antes de enviar este Cap tulo 4 Despu s de la instalaci n 29 43 Deshabilitar el arranque desde diskette El MBR defectuoso en Debian antes de la versi n 2 2 no act a como un registro dominante en la entrada y deja abierto un m todo para quebrar f cilmente el sistema Presione shift al momento de entrar y de inmediato un MBR aparece Luego presione E y su sistema entrar desde un disquete Esto puede ser usado para tener un acceso de ROOT al sistema Este comportamiento puede ser cambiado totalmente por lilo b dev hda Ahora LILO es puesto dentro del MBR Este tambi n puede ser archivado agregando boot dev hda para lilo conf Hay otra soluci n la
51. ados etc Lo mejor es sacar una copia completa de seguridad usando dd despu s de haberlo carga do desde un medio seguro Los discos compactos de Debian GNU Linux pueden ser usados correctamente por ste dado que ellos suministran a una interfaz de comandos en la consola 2 cuando la instalaci n haya iniciado presione Alt 2 y luego Enter La interfaz de comando puede ser usada para sacar una copia de seguridad a un lugar diferente a lo mejor un servidor de archivos en red v a NFS FIP para hacer un an lisis mientras el sistema est fuera de l nea o siendo reinstalado Cap tulo 10 Despu s del compromiso 94 Si usted est seguro que solamente hay un m dulo del kernel troyano usted puede intentar lanzar la imagen del kernel desde el disco compacto en modo rescue Aseg rese de iniciar en modo single o si no de modo que otros procesos troyanos no correr n despu s del kernel 10 3 An lisis forense Si usted desea recopilar mas informaci n el tct El juego de herramientas del instructor de Dan Farmer y Wietse Venema contiene paquetes de utilidad que ejecuta un post mortem de un sistema El tct permite al usuario recopilar informaci n acerca de archivos borrados procesadores en funcionamiento y m s Observe la documentaci n inclu da para m s informa ci n Los an lisis forense siempre se deben hacer en la copia de seguridad de datos nunca en los mismos datos ya que estos podr an ser falsificados a trav s de
52. aimportancia de logs y alarmas C mo las bit coras y alarmas son tratadas es un problema importante en un sistema seguro Es f cil ver que aun cuando el sistema est perfectamente configurado y supuestamente 99 asegurado Si el 1 sucede y no hay seguridad midiendo en tales situaciones primero des cubra esto y segundo las alarmas del aumento el sistema no est en absoluto seguro Debian GNU Linux proporciona algunas herramientas para hacer el an lisis de bit coras la mayor a notablemente el Logcheck Sin embargo all se est considerando mucho an lisis del log que no puede cubrirse totalmente aqu un recurso bueno para la informaci n es Couter pane s Log Analysis Resources http www counterpane com log analysis html 4 10 1 Configurando el sitio donde las alertas son enviadas Debian viene con una configuraci n de syslog est ndard dentro de etc syslog conf que an ota mensajes para apropiar archivos dependiendo de la facilidad del sistema Usted deber a familiarizarse con sto debe mirar el archivo syslog conf o sino la documentaci n Si usted beware of the case here since spawn will not work Cap tulo 4 Despu s de la instalaci n 42 pretende mantener un sistema seguro usted podr estar precavido de a d nde se mandan los mensajes de registro de manera que no pasen inadvertidos Por ejemplo enviar mensajes a la consola es una configuraci n interesante ya que es util para muchos sistemas
53. aiz de archivos del n cleo Ahora mkdir etc dist copia todo desde et c de la parte interior Lo hago en dos pasos usando tmp etcdist tar para evitar la recurrencia dentro del directoro opcionalmente usted puede crear etc dist tar gz y marquelo como inmutable La raz n para todo es limitar el da o que usted pueda ocasionar cuando se registyra como root Usted no podra sobreescribir archivos con un desviado operador de redirec ciones usted no podra hacer del sitema algo inusual con un desviado espacio dentro de un comando rm fr usted puede permancer haciendo lo suficiente con los da os de sus datos pero sus libs y bins estaran seguros sta tambi n emplea una variedad de seguridad y rechazo de servicios de cualquier im posible explosi n o algo de mayor dificultad ya que muchos de ellos confian en sobre copiar archivos a trav s de las acciones de algun programa SUlDque no suministra arbi trariamente una interfase de comandos El nico inconveniente de este es cuando se construye y se hace su make install sobre varias clases de sistemas binarios Sobre la otra mano tambi n previene la instalaci n desde los archivos sobre escritos Cuando usted olvida leer el Makefile y chattr i los archivos que pueden ser sobre escritos fallan con el make y los directorios para los cuales usted necesita para a adir archivos usted solo use el comando chattr y regrese Usted tambi n puede tener la oportuinidad de mover sus viejos bins
54. amp updatedb localuser nobody 2 gt dev null 11 2 6 Software espec fico Proftpd es vulnerable a un ataque en el servicio Denial run parts report Agregue DenyFilter 1 a su archivo de configuraci n para m s informaci n observe http www proftpd org critbugs html 11 3 Preguntas con respecto al equipo de seguridad Debian 11 3 1 Lo que es una Advertencia de Seguridad Debian DSA sta es una informaci n enviada por el equipo de seguridad Debian observe en la parte de abajo informando acerca de un ajuste de una seguridad relacionada a la vulnerabilidad Cap tulo 11 Preguntas Frecuentes 108 disponible para el sistema operativo Debian Los ASDs firmados son enviados a las listas de correo p blico y anunciado en la p gina web de Debian tanto en la p gina frontal como en el rea de seguridad security area http www debian org security Las DSA incluyen informaci n acerca de el los paquete s afectado s el error descubierto y donde se pueden obtener los paquetes actualizados y sus sumas MD5 11 3 2 La firma sobre de la advertencia de Debian no es verificada correctamente Probablemente este sea un problema suyo La lista de anuncios de seguridad de Debian tiene un filtro que solamente permite el env o de mensajes con una firma correcta de uno de los miembros del equipo de seguridad Probablemente alguna pieza de los programas de correo de su parte hace cambios menores en los mensajes rompi
55. an normal 2 2 kernel tambi n 2 2 susmistra el paquete de filtro del cortafuego ipchains el kernel normal de Debian 3 0 kernel 2 4 suministra el poderoso paquete de filtros de cortafuegos iptables filtro de la red Las distribucines m s viejas de Debian necesitan el parche apropiado del kernel Debian 2 1 usa el kernel 2 0 34 En todo caso es bastante f cil usar un kernel diferente al suministrado por Debian Ust ed puede encontrar paquetes de kernel pre compilados que puede instalar f cilmente en el sistemas de Debian Usted tambi m puede obtener las fuentes del kernel usando kernel source X y armar paquetes de kernel personalizados con make kpkg Configurando los cortafuegos en Debian se discute m s a fondo en A adir capacidades al cortafuegos en la p gina 64 4 12 Afiadiendo parches al kernel ARREGLAME More content Debian GNU Linux suministra algunos de los parches para el kernel de Linux que aumentan su aseguramiento Estos incluyen Detecci n de Intrusos en Linux dentro del paquete 1ids 2 2 19 Cap tulo 4 Despu s de la instalaci n 47 Capacidades de Linux dentro del paquete 1cap Confianza en Linux dentro del paquete t rustees Linux Aumentando con NSA dentro del paquete selinux tambi n disponible desde the developer s website http www coker com au selinux kernel patch 2 2 18 openwall http packages debian org kernel patch 2 2 18 openwall kernel patch 2 2 19 harden
56. apacitar o eliminar in telnetd Generalmente inhabilite los servicios gratuitos en etc inetd conf usando update inetd disable or inhabilite todo inetd o use un reemplazo como xinetd or rlinetd Inhabilite los otros servicios gratuitos de red mail ftp DNS www etc no deben estar corriendo si usted no los necesita y monitor elos regularmente Para los servicios que necesite no use solamente los programas comunes busque m s versiones seguras enviadas por Debian o busque otros recursos Para cualquier servicio que usted termine usando aseg rese de entender los riesgos Monte celdas de directorio ra z distintos para usuarios externos y demonios Configure firewall y tcpwrappers ie hosts access 5 revise etc hosts deny en este texto si usted corre ftp monte su servidor ftpd y siempre corra chrooted para el directorio ra z del usuario e Si usted corre X inhabilite la autenticaci n xhost y use ssh a cambio mejor a n in habilite X remoto si usted puede adicione nolisten tcp a X desde la l nea de coman dos y apague XDMCP en etc X11 xdm xdm config configurando requestPort a 0 Inhabilite el acceso externo a impresoras Use tunel para sesiones de IMAP o POP a trav s de SSL o ssh instale stunnel si usted quiere proporcionar este servicio a usuarios de correo remoto e Monte un loghost y configure otras m quinas para enviar logs a sta etc syslog conf asegure BIND Sendmail y otros dem
57. aquete fuente para compilarse una nueva versi n 1 2 Notas Retroalimentaci n Organizaci n Ahora la parte oficial Tanto Alexander Reelsen como Javier Fern ndez Sanguino escribieron la mayor a de p rrafos de este manual pero en opini n de ambos ste no deber a ser el caso Ambos han crecido y vivido con el software libre es algo que usan a diario y supongo que usted tambi n Por eso animamos a todo el mundo a enviar todo tipo de retroalimentaci n afiadidos o cualquier otra sugerencia que usted pueda tener Si desea mantener una cierta secci n o mejor un p rrafo escriba a quien mantiene el documen to y ser bien recibido Especialmente si encuentra una secci n marcada como ARREGLAME lo que significa que los autores no tienen el tiempo para hacerlo o el conocimiento total nece sario sobre el tema escr bales un correo inmediatamente Por el tema de este manual est claro que es muy importante mantenerlo actualizado y usted puede hacer su parte Por favor contribuya 13 Conocimiento previo La instalaci n de Debian GNU Linux no es muy dif cil y usted mismo debe haber sido capaz de instalarlo Si tiene alg n conocimiento sobre Linux u otro Unix y est familiarizado con la seguridad b sica le ser m s f cil entender este manual dado que este documento no puede explicar cada pequefio detalle o caracter stica de lo contrario hubiera sido un libro en lugar de un manual Si usted no est tan familiarizado probab
58. ar el demonio smtp desde inetd update inetd disable smtp y configurar el demonio de correo solo para escuchar en la interfaz loopback En exim el MTA por defecto usted puede hacer esto afiadiendo la siguiente l nea editando etc exim conf y afiadiendo la siguiente linea local interfaces 127 0 0 1 Reinicie ambos demonios inetd y exim y estar n escuchando en el socket 127 0 0 1 25 sola mente Sea cuidadoso y primero desconecte inetd de lo contrario exim no iniciara ya que el demonio inetd est manejando las conexiones entrantes Para usar postfix edite etc postfix main conf inet_interfaces localhost Si usted solo quiere un correo local este metodo es mejor que usar la cubierta tcp wrapping al demonio de correo o afiadir las reglas del cortafuego para limitar el acceso de cualquier persona a este Sin embargo si necesita que escuche en otras interfaces deber a considerar lanzarlo desde inetd y afiadir un tcp wraping de forma que las conexiones sean revisadas contra etc hosts allowy etc hosts deny tambi n ser advertido cuando un acceso no autorizado est atentando en contra de su demonio de correo usted debe instaurar un registrador apropiado para cualquiera de los metodos mencionados anteriormente 5 7 Recibiendo Correo de forma segura Leer recibir correo es el protocolo m s com n de texto plano Si usted usa POP3 o IMAP para obtener su correo la contrasefia es enviada en texto plano a trav s de la red
59. ar esa misma informaci n para su apli caci n sobre un sistema Debian GNU Linux La forma de trabajar de distintas distribuciones es diferente el ejemplo habitual es la forma de arrancar y para los demonios del sistema aqu usted encontrar material apropiado para los procedimientos y herramientas utilizadas por Debian Si vd tiene alg n comentario o sugerencia por favor escriba un correo a Javier Fern ndez Sanguino mailto jfs computer org direcci n alternativa jfs debian org y lo incorpo rar dentro de este manual Igualmente si detecta alguna errata en la traducci n de este manual contacte con l Cap tulo 1 Introducci n 2 1 1 Obtenci n del manual Usted puede leer u obtener la ltima versi n del manual de seguridad de Debian del Proyecto de documentaci n de Debian http www debian org doc manuals securing debian howto Tambi n puede obtener las fuentes de la versi n de cvs a trav s del Servidor CVS http cvs debian org ddp manuals sgml securing howto cvsroot debian doc En el servidor del proyecto de documentaci n de Debian no podr leer el documento en otros formatos como PDF o txt Sin embargo puede obtener o instalar el paquete harden doc http packages debian org harden doc el cual proporciona este mismo doc umento en formatos HTML texto y PDF Tenga en cuenta que este paquete puede no estar actualizado a la ultima versi n disponible en Internet jpero siempre puede utilizar el p
60. ar las vulnerabilidades de un sistema operativo frente a otro Tenga tambi n en mente que alguna de las vulnerabilidades de BugTraq que afectan a Debian se aplican s lo a la rama unstable Es Debian m s segura que las otras distribuciones de Linux como RedHat SuSE No hay realmente muchas diferencias entre las distribuciones de Linux m s all de la insta laci n base y el sistema de gesti n de paquetes La mayor a de las distribuciones comparten las mismas aplicaciones con diferencias fundamentalmente en las versiones de esas aplicaciones que se distribuyen en esa distribuci n estable por ejemplo el n cleo Bind Apache OpenSSH XFree gcc zlib etc todas son comunes en las distribuciones Linux Por ejemplo teniendo en cuenta los datos de Securityfocus puede parecer que Windows NT es m s seguro que Linux lo que es una afirmaci n cuestionable Despu s de todo las distribuciones de Linux proporcionan ha bitualmente muchas m s aplicaciones comparadas con Windows NT de Microsoft Cap tulo 11 Preguntas Frecuentes 96 Por ejemplo RedHat se distribuy desafortunadamente cuando era actual la versi n 1 2 3 de foo en la que m s tarde se encontr un agujero de seguridad Debian por otro lado tuvo la suerte de distribuir foo 1 2 4 que incorporaba el parche al fallo Ese fue el caso en el proble ma con rpc statd http www cert org advisories CA 2000 17 html Hace varios afios Hay mucha colaboraci n entre
61. archivo Otro programa util es Snoopy http sourceforge net project group id 2091 elcuales un programa usuario transparente que engancha co mo en una bibliotecaproporcionando una envoltura alrededor del execve llamadas cualquier comando ejecuta el estar anotado a syslogd usando la facilidad del authpriv facility usual mente storead a var log auth log Note que usted no puede usar el comando script por esto desde que este no funcionar como una interfaz de comandos aun si usted agrega esto a et c shells 4 7 8 Completa auditor a del usuario El ejemplo anterior es una manera simple de configurar el usuario interviniendo el cual no podria ser util para los sistemas complejos Si ste es su caso usted necesita mirar a acct la Cap tulo 4 Despu s de la instalaci n 40 contabilidad de utilidades stos anotar n todos los comandos corridos por usuarios o proce sos en el sistema al gasto de espacio del disco A activar la contabilidad toda la informaci n sobre los procesos y el usuario se guarda bajo var account m s espec ficamente en el pacct El paquete de contabilidad incluye algu nas herramientas sa y ac para analizar estos datos 4 7 9 Repasando los perfiles del usuario Si usted quiere normalmente see a los usuarios qu est n haciendo cuando esten ellos conec t ndos usted pueden usar la base de datos de wtmp que incluye toda la informaci n del login Este archivo puede procesarse con varias utili
62. as como la copia remota a trav s del canal ssh Aseg rese para tener todos los binarios necesitados y bibliotecas en el el camino del chrooted para los usuarios Estos archivos deben poseer por root evitar ser manoseados por el usuario para terminar el chrooted encarcelado Una muestra podr a incluir bin total 660 drwxr xr x 2 root root 4096 Mar 18 13 36 drwxr xr x 8 guest guest 4096 Mar 15 16 53 r xr xr x 1 root root 531160 Feb 6 22 36 bash r xr xr x 1 root root 43916 Nov 29 13 19 1s r xr xr x 1 root root 16684 Nov 29 13 19 mkdir rwxr xr x l root root 23960 Mar 18 13 36 more r xr xr x 1 root root 9916 Jul 26 2001 pwd r xr xr x 1 root root 24780 Nov 29 13 19 rm lrwxrwxrwx 1 root root 4 Mar 30 16 29 sh gt bash Cap tulo 4 Despu s de la instalaci n 38 etc total 24 drwxr xr x 2 root root 4096 Mar 15 16 13 drwxr xr x 8 guest guest 4096 Mar 15 16 53 rw r r l root root 54 Mar 15 13 23 group rw r r 1 root root 428 Mar 15 15 56 hosts rw r r 1 root root 44 Mar 15 15 53 passwd rw r r 1 root root 52 Mar 15 13 23 shells Llibs total 1848 drwxr xr x 2 root root 4096 Mar 18 13 37 drwxr xr x 8 guest guest 4096 Mar 15 16 53 rwxr xr x 1 root root 92511 Mar 15 12 49 ld linux so 2 rwxr xr x 1 root root 1170812 Mar 15 12 49 libc so 6 rw r r 1 root root 20900 Mar 15 13 01
63. asefia root no puede ser obtenida a fuerza bruta por v a SSH Listen 666 Cambie el puerto de escucha de tal manera que el intruso no pueda estar completamente seguro de si est corriendo un demonio de sshd Note que esto es seguridad por oscuri dad PermitEmptyPasswords no Las contrasefias en blanco convierten en broma la seguridad del sistema AllowUsers alex ref Permita que solamente ciertos ususarios tengan acceso v a ssh a esta m quina AllowGroups wheel admin Permita que solamente los miembros de ciertos grupos tengan acceso v a a ssh a esta m quina AllowGroups y AllowUsers tienen directivas equivalentes para denegar el ac ceso a una m quina Predeciblemente se llaman DenyUsers y DenyGroups PasswordAuthentication yes Queda completamente a su elecci n lo que usted quiera hacer Es m s seguro per mitir el acceso a la m quina solamente a usuarios con llaves ssh en el archivo ssh authorized_keys Si es lo que quiere d le el valor no Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 53 Como nota final dese cuenta que estas directivas son de los archivos de la configuraci n de OpenSSH Ahora mismo hay tres demonios SSH usadados habitualmente ssh1 ssh2 y el OpenSSH de la gente de OpenBSD Ssh1 fue el primer domonio ssh diaponible y atin es el m s comunmente usado hay rumores de que existe incluso un porte a windows Ssh2 tiene muchas ventajas sobre
64. b debconf 0 9 77 all deb dialog 0 9a 20010527 1 1386 deb fileutils 4 1 2 i386 deb klogd_1 4 1 2_i386 deb libbz2 1 0 1 0 1 10 i386 deb libc6 2 2 3 6 i386 deb libdb2 2 7 7 8 1i386 deb libdbd mysql perl 1 2216 2 1i386 deb libdbi perl 1 18 1 i386 deb libexpat1_1 95 1 5_i386 deb libgdbmgl 1 7 3 27 i1386 deb libmml11 1 1 3 4 i386 deb libmysqlclient10_3 23 39 3_1386 deb libncurses5 5 2 20010318 2 i386 deb libpcap0_0 6 2 1_i386 deb libpcre3 3 4 1 i386 deb libreadline4 4 2 3 i386 deb libstdc 2 10 glibc2 2_2 95 4 0 010703_i386 deb logrotate_3 5 4 2_i386 deb mime support 3 11 1 all deb mysql client_3 23 39 3_i386 deb n n nysql common 3 23 39 3 1 all deb nysql server 3 23 39 3 i386 deb perl base 5 6 1 5 i386 deb perl modules 5 6 1 5 all deb perl 5 6 1 5 i386 deb php4 mysqi 4 0 6 4 i386 deb php4 4 0 6 1 1386 deb php4 4 0 6 4 i386 deb snort 1 7 9 i386 deb sysklogd 1 4 1 2 i386 deb zliblg 1 1 3 15 i386 deb Installed packages dpkg 1 ii adduser 3 39 ii ae 962 26 ii apache 1 3 20 1 ii apache common 1 3 20 1 ii apt 0 3 19 ii base config 0 33 2 ii base files 2 2 0 ii base passwd 3 1 10 ii bash 2 03 6 Cap tulo C Montar un IDS aislado 123 ii 11 ii ii ii i ii bsdutils 2 410f 5 l console data 1999 08 29 11 console tools 0 2 3 10 3 console tools 0 2 3 10 3 cron 3 0p11 57 2 debconf 0 9 77 de
65. being actively used to distribute trojans if am root then echo The files have been renamed to have the extension FAILED and echo will be ignored by apt cat NOCHECK while read a do mv var lib apt lists a var lib apt lists a FAILED done fi fmt echo Sed s Jf lt NOCHECK echo fi if Sallokay then echo Everything seems okay echo fi rm rf tmp apt release check Cap tulo 7 Firma de paquete en Debian 78 79 Cap tulo 8 Herramientas de seguridad en Debian ARREGLAME Se necesita m s contenido Adem s Debian suministra un numero de herramientas de seguridad que pueden hacer en un equipo con Debian instalado adecuadamente para los propositos de analisis de seguridad Algunos de ellos son suministrados cuando se instala el paquete harden remoteaudit 8 1 Evaluaci n de herramientas de vulnerabilidad remota Las herramientas suministradas por Debian para ejecutar la evaluaci n de vulnerabilidad re mota son nessus raccess a whisker nikto reemplazo de whisker bass no libre satan no libre La herramienta m s completa y actualizada es nessusla cual est compuesta de un cliente nessus usado como un GUI y un servidor nessusd los cuales lanzan los ataques progra mados Nessus incluye vulnerabilidades remotas para varios sistemas incluyendo dispositivos de red servidores ftp servidores www etc Las ltimas liberaciones
66. bian GNU Linux A adidas unas cosas a hacer m s Correcci n de m s errores ortogr ficos gracias a Yotam 1 5 16 Versi n 1 9 Cambios por Javier Fern ndez Sanguino Pefia Se a adi un parche para arreglar errores de ortograf a y un poco de nueva informaci n contribuido por Yotam Rubin Se a adieron referencias a otra documentaci n en l nea y no en l nea tanto en una nica secci n vea Estar enterado de los problemas de seguridad generales en la p gina 15 como dentro de algunas secciones A adida alguna informaci n sobre como configurar opciones de bind para restringir el acceso al servidor de DNS Agregada informaci n de como bastionar un sistema de Debian autom ticamente con respecto al paquete harden y bastille Eliminados algunos PORHACER hechos y a adidos otros nuevos Cap tulo 1 Introducci n 11 1 5 17 Versi n 1 8 Cambios por Javier Fern ndez Sanguino Pefia Se a adi la lista de usuario grupo por defecto proporcionada por Joey Hess enviada a la lista de correo debian security Se a adi informaci n sobre los rootkits LKM LKM Loadable Kernel Modules m du los cargables en el n cleo en la p gina 88 contribuida por Philipe Gaspar Se agreg informaci n sobre Proftp contribuida por Emmanuel Lacour Se recuper el ap ndice checklist de Era Eriksson Se a adieron algunos art culos nuevos al PORHACER y se arreglaron otros Se incluyero
67. bianutils 1 13 3 ii ii dialog 0 9a 20010527 diff 2 7 21 ii Li dpkg 1 6 15 e2fsprogs 1 18 3 0 elvis tiny 1 4 11 ii ii fbset 2 1 6 fdflush 1 0 1 5 Li ii fdutils 5 3 3 fileutils 4 1 2 ii findutils 4 1 40 El 11 ii 11 ii ii LI ii ftp 0 10 3 1 gettext base 0 10 35 13 grep 2 4 2 1 gzip 1 2 4 33 hostname 2 07 isapnptools 1 21 2 Joe 2 8 15 2 ii klogd 1 4 1 2 ldso 1 9 11 9 ii libbz2 1 0 1 0 1 10 lribe6 22 3 6 ii libdb2 2 7 7 8 ii libdbd mysql p 1 2216 2 ii libdbi perl 1 18 1 ii libexpatl 1 95 1 5 ii libgdbmgl 1 7 3 27 ii libmm11 1 1 3 4 ii ii ii 13 ii ii LI ii Ii ii ii L libmysqlclient 3 23 39 3 libncurses5 5 2 20010318 2 libnewt0 0 50 7 libpam modules 0 72 9 libpam runtime 0 72 9 libpam0g 0 72 9 libpcap0 0 6 2 1 libpcre3 3 4 1 libpoptO 1 4 1 libreadline4 4 2 3 libss109 0 9 4 5 libstdc 2 10 2 95 2 13 Cap tulo C Montar un IDS aislado 124 ti ii libstdc 2 10 2 95 4 0 01070 libwrap0 7 6 4 LlTLo 2r01 4 3 2 ii locales 2 1 3 18 ii login 19990827 20 ii ii ii ii X Jo TE ii ii LI ii ii ii makedev 2 3 1 46 2 mawk 1 3 3 5 mbr 1 1 2 1 mime support 3 11 1 modutrils 254 3 11 13 1 mount 2 10f 5 1 mysqi client 3 23 39 3 n n n n n nysql common 3 23 39 3 1 nysql server 3
68. bin bin usr sbin snntpd logger p news info bind 127 0 0 1 Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 52 Laa siguientes secciones detallan como cada servicio determinado puede ser configurado de bidamente dependiendo de los usos que se quieran dar 5 1 Asegurando ssh Si a n est usando telnet en vez de ssh debe detener la lectura de este manual y cambiar esto Ssh deber a ser usado para todas las entradas remotas en vez de telnet En una poca donde es f cil husmear el tr fico de internet y obtener contrasefias en texto plano debe usar s lo protoc los que usen criptograf a De una vez ejecute un apt get install sshensu sistema Anime a todos los usuarios de su sistema para usar ssh en vez de telnet o mejor a n desin stale telnet telnetd Adem s debe evitar las entradas al sistema usando ssh como root y use m todos alternativos en vez de root como su o sudo Finalmente el archivo sshd config dentro de etc ssh debe ser modificado para aumentar la seguridad as ListenAddress 192 168 0 1 Haga que ssh escuche solo la interfaz dada s lo en un caso de que haya m s de uno y no necesite un ssh disponible sobre ste o que en un futuro agrege una nueva tarjeta de red y no necesite una conexi n desde ssh en sta PermitRootLogin No Intente no permitir al Root entrar tanto como sea posible Si alguien quiere volverse root por v a ssh dos logins ser n necesarios y la contr
69. bles aproximaci n para este procedimiento en Debian 2 2 GNU linux es mostrado abajo Este es un proceso post de instalaci n para una revici n de la lista de medidas a ser tomadas paso a paso durante la configuraci n vea Lista de chequeo de la configuraci n en la p gina 117 tambi n este procedimiento est por el momento m s orientado hacia el fortalecimiento de servicios del sistema de redes Haga una instalaci n del sistema considere la informaci n en este howto acerca de las particiones Despu s que la instalaci n de base sea instalada entre a la instalaci n por defecto no seleccione paquetes de tareas si no seleccione shadow passwords Vaya atrav s de dselect y remueva lo que no es necesario si no selecciono paquetes antesv de ser I instalados Deje la menor cantidad de programas necesarios en el servi dor Actualice todo el software desde los utimos paquetes disponibles en security debian org como se expuso previamente en Ejecute una actualizaci n de seguridad en la p gina 32 implemente las sugerencias presentadas en este manual considerando las cuotas del usuario definiciones de login y lilo Para hacer un fortalecimiento del servicio haga una lista de servicios activos actualmente en el sistema ps aux netstat pn 1 A inet usr sbin lsof i grep LISTEN Necesitar instalar 1sof 2 2 para que el tercer comando funcione corralo como root Deber a ser consiente que 1sof
70. chando pero no quiere que escuchen todas las direcciones IP de su host usted podr a usar una caracter stica no documentada de inetd O usar un demonio inetd alterno como xinetd 3 7 Lea las listas de correo de seguridad de Debian Nunca es malo dar un vistazo en cualquier lista de correo de los anuncios de seguridad de Debian donde son anunciados avisos y correcciones para promocionar paquetes por el equipo de Debian o en debian securityQlists debian org donde usted puede participar en discusiones acerca de cosas relacionadas a la Seguridad de Debian Para recibir alertas importantes de la seguridad de update Env e un e mail a debian security announce requestOlists debian org nailto debian security announce request lists debian org con la palabra suscribir en la l nea subject Usted tambi n puede suscribirse a esta lista e mail moderada en la pagina Web nttp www debian org MailingLists subscribe Estas listas de correo tienen un muy bajo volumen y al suscribirse a esta usted ser inmedi atamente alertado de los asuntos de seguridad de la distribuci n Debian Esto le permite r pi damente cargar nuevos paquetes con correcciones en la seguridad lo cual es muy importante en el mantenimiento de un sistema seguro Vea Ejecute una actualizaci n de seguridad en la p gina 32 para mas detalles sobre como hacer esto Cap tulo 3 Antes y durante la instalaci n 26 27 Cap tulo 4 Despu s de la instalaci n
71. compilados con las envolturas del tcp en Debian incluyen ssh portmap in talk rpc statd rpc mountd gdm oaf el demonio activador de GNOME Nessus y muchos otros Cap tulo 4 Despu s de la instalaci n 41 Tenga en cuenta esto cuando el tcpchk est avanzando Usted puede agregar servicios en que se unen a la biblioteca de la envoltura de los archivos host deny y hosts allow pero los tcpchk advertir que este no puede encontrar esos servicios desde que parece para ellos en etc inetd conf el manpage no es totalmente exacto aqu Ahora aqu viene un truco pequefio y probablemente la intrusi n m s pequefia del sistema de descubrimiento disponible En general usted debe tener una pol tica decente del cortafuego como una primera l nea y envolturas del tcp como la segunda l nea de defensa Un truco pequefio es poner un comando SPAWN len etc hosts deny que env a correos a root siempre que hay un servicio negado en las envolturas de los gatillos ALL ALL SPAWN echo e n TCP Wrappers Connection refused n By uname n n Process d pid p n User Su n Host c n Date date n usr bin mail s Connection to d blocked root amp Beware tenga cuidado El ejemplo anterior impreso puede f cilmente ser DoSed por estar ha ciendo las muchas conexiones en un per odo corto de tiempo Muchos correos electr nicos significan mucho del archivo I O para enviar nicamente unos correos 4 10 L
72. conectarse con usted Los servicios son algunas veces vulnerables i e puede estar comprometido bajo un ataque dado y por lo tanto son un riesgo de seguridad Usted no deber a instalar servicios innecesarios para su m quina Todo nuevo servicio instala do quiz s sin evidencia o evidentemente puede crear fallas de seguridad en su computador Como es bien sabido cuando usted instala un servicio dado el comportamiento err neo es activarlo En una instalaci n por defecto de Debian sin servicios instalados la huella de los servicios recorridos es lenta y es aun m s lento cuando se habla acerca de los servicios ofre cidos en la red La huella en Debian 2 1 no era tan dif cil como la 2 2 algunos servicios inetd fueron permitidos por descuido y en el Debian 2 2 el Rpc PORTMAPPER se permite para la instalaci n Rpc es instalado por descuido porque este es necesitado por muchos servicios por ejemplo NFS para recorrer en un sistema dado Esto puede ser removido f cilmente sin embargo vea Deshabilitar los demonios en esta p gina para saber como desactivarlo Cuando usted instale un nuevo servicio relacionado con la red demonio en su sistema De bian GNU Linux ste puede ser habilitado de dos formas a trav s del superdemonio de inetd i e una linea ser a adida a etc inetd conf o a trav s de un programa autom tico que se ratifica a si mismo con el conector de unidades del sistema Los programas autom ticos son controlados
73. ctorio no hay informaci n sensible que proteger Si piensa que esos permisos son demasiado permisivos para su sistema considere en asegurar los a 750 Para los usuarios lea Limitando el acceso a la informaci n de otros usuarios en la p gina 40 Este hilo de discusi n http lists debian org debian devel 2000 debian devel 200011 msg00783 html de la lista de seguridad de Debian tiene m s informaci n acerca de sto 11 1 11 Tras instalar un grsec cortafuegos he empezado a recibir muchos mensajes de consola C mo puedo eliminarlos Si est recibiendo mensajes de consola y tiene configurado etc syslog conf para enviar los a archivos o a un TTY especial puede estar viendo los mensajes que se env an directamente a la consola El nivel de log predeterminado de la consola para cualquier n cleo es 7 lo que significa que cualquier mensaje con una prioridad menor aparecer en la consola Habitualmente los corta fuegos la regla LOG y algunas otras herramientas de seguridad usan prioridades menores que por lo tanto se env an directamente a la consola Para reducir los mensajes que se env an a la consola puede usar la opci n dmesg n mire dmesg 8 que examina y controla el anillo del buffer del kernel Para solucionar esto en el pr ximo inicio cambie etc init d klogd de KLOGD KLOGD c 4 Use un n mero menor en c si aun as los ve Puede encontrar una descripci n de los difer entes nivele
74. cual inhabilita r pidamente el MBR completamente install mbr i n dev hda De otra forma esta puerta trasera desde la cual mucha gente no est enterada puede salvar su pellejo si usted esta en aprietos con su instalaci n por cualquier raz n ARREGLAMEcheck whether this really is true as of 2 2 or was it 2 1 INFO Thebootdisks as of Debian 2 2 do NOT install the mbr but only LILO 4 4 Restricci n del acceso a la consola Algunas pol ticas de seguridad quieren forzar a los administradores para registrarse en el sistema a trav s de la consola con su usuario contrasefia y luego llegar a ser un supe rusuario consu o sudo Esta pol tica es implementada en Debian al editar el archivo etc login defs o etc securetty cuando se usa PAM En login defs edite el la variable CONSOLE que define un archivo o lista de terminales sobre las cuales la entrada de root es permitida securetty agregando removiendo las terminales desde las cuales el acceso a root es permitido Cuando use PAM se hacen otros cambios para el proceso de registro los cuales pueden incluir restricciones para usuarios y grupos a tiempos dados puede ser configurado en et c pam d login Una interesante caracter stica que puede ser incapacitada es la posibilidad de reg istrar con contrasefias sin efecto nulas Esta caracter stica puede ser limitada removiendo el nullok de la linea auth required pam unix so nullok Cap tulo 4 Despu s de la ins
75. cuando se asegura cualquier servicio dado Configurar el demonio por si solo apropiadamente para que este no pueda ser afectado desde afuera Esto abarca limitar las posibles dudas de los clientes zona transferida y consultas recursivas Limitar el acceso del demonio al servidor mismo de modo que si este es usado para en trar el dafio en el sistema est limitado Esto incluye correr el demonio como un usuario no privilegiado y cambiarle el directorio raiz Deberia restringir alguna de la informaci n que es dada por el servidor DNS para clientes externos para que no pueda ser usado para acceder a informaci n valiosa de su organizaci n que usted no quiere dar Esto incluye a adir las siguientes opciones allow transfer allow query allow recursive y version Puede limitar en una secci n global para que se aplica a todas las zonas presentes o sobre una base por zona Esta informaci n esta documentada en el paquete bind doc lea m s sobre esto en usr share doc bind html index html una vez el paquete este instalado Imagine que su servidor est conectado a Internet y a su red interna su IP interno es 192 168 1 2 un servicio de multi domicilio basico Usted no quiere dar ningun servicio para Internet y solo quiere permitir el lookups DNS desde su servidor interno Usted podria re stringir esto para incluirlo en etc bind named conf options allow query 192 168 1 24 allow transfer none allow recursive 192
76. cutan en su sistema 64 est usando otra versi n tendr que desactivar el servicio como se ve en Deshabilitar los de monios en la p gina 23 esto es debido a el programa que forma parte del paquete net base el cual no puede ser desinstalado sin que el sistema se haya destruido Esto en realidad elimina toda conexi n con el sistema relacionado a el portmap en etc rc runlevel d lo cual es algo que usted tambi n hacerlo manualmente Otra posibilidad es chmod 644 etc init d portmap pero que da un mensaje de de error o cuando se entra a el sistema Usted tambi n puede deshacer start stop daemon en la parte etc init d portmap que es la cubierta del escrito 5 15 A adir capacidades al cortafuegos El Sistema operativo Debian GNU Linux que tiene capacidades built in proporcionadas por Linux kernel Esto significa que si usted instala un sistema potato descargar Debain 2 2 el Kernel defectuoso es 2 2 usted tendra el corta fuegos ipchains disponible en el Kernel el cual seguramente estara instalado debido a su prioriedad Si usted instala instala un sis tema woody Descargar Debian 3 0 el Kernel defectuoso es 2 4 usted tendra el corta fuegos ipchains disponible iptables Algunos usuarios podrian colocar reglas a el corta fuegos como fuente para este escrito Sin embargo revise que programas o caracteristicas del corta fuegos usted debe usar ya que ellos pueden explorar otros archivos y cambiar las definiciones que usted a
77. d pueda tomar las medidas oportunas 22 Estar enterado de los problemas de seguridad generales El siguiente manual por lo general no entra en detalles del por qu algunos asuntos son considerados riesgos de seguridad Sin embargo usted deber a tener una mayor informaci n en lo que se refiere a UNIX en general y en particular a la seguridad de Linux Tome algo de tiempo para leer acerca de la seguridad en documentos relacionados para poder tomar decisiones cuando usted se encuentre con diferentes opciones Debian GNU Linux est basado Cap tulo 2 Antes de empezar 16 en el n cleo de Linux por lo que la mayor parte de la informaci n referente a Linux as como de otras distribuciones y en general la seguridad en UNIX tambi n es aplicable aqu incluso s las herramientas usadas o los programas disponibles difieren Algunos documentos tiles incluyen a El Linux Security HOWTO http www linuxdoc org HOWTO Security HOWTO html tambi n disponible en LinuxSecurity http www linuxsecurity com docs LDP Security HOWTO html es una de las mejores referencias en lo que se refiere a la seguridad de Linux en general El Security Quick Start HOWTO for Linux http www linuxsecurity com docs LDP Security Quickstart HOWTO es tambi n un buen punto de arranque para usuarios novatos para ambos Linux y la seguridad El Linux Security Administrator s Guide http seifried org lasg propor cionado en Debian a t
78. dades entre ellos sac el cual puede hacer un profile en cada usuario que muestra en que estructura de tiempo ellos normalmente anotan adelante en el sistema En caso de que usted tiene la contabilidad activada usted tambi n puede usar las herramientas con tal de que por esto en el comando determine cuando los usuarios acceden a el sistema y qu ellos ejecuten 4 8 Proporcionando acceso seguro a los usuarios 4 8 1 Limitando lo que los usuarios pueden ver hacer Limitando el acceso a la informaci n de otros usuarios 4 9 Usando tcpwrappers Las envolturas de TCP se desarrollaron cuando no hab a ning n filtro del paquete real disponible y el control de acceso fue necesitado Las envolturas de TCP permiten permitir o negar un servicio para un organizador o un dominio y defina un valor permitido o niegue la regla Si usted quiere que m s informaciones de una mirada a hosts access 5 Muchos servicios instalados en Debian son cualquiera de estos dos a lanz a trav s del servicio del tcpwrapper tcpa compil con el soporte libwrapper incorporado En la primera mano de servicios son configurados en etc inetd conf esto incluye tel net ftp netbios swat and finger usted ver que el archivo de la configuraci n se ejecute primero usr sbin tcpd Por otro lado aun cuando un servicio no se lanza por el superdemonio del inetd en cualquier caso sujet las reglas de envolturas de tcp compilando su soporte en l Los servicios
79. de nivel de producci n Pero para muchos sistemas tambi n es importante afiadir una nueva m quina que podr a servir como servidor de registro i e esto recibe los registros desde todos los otros sistemas El correo de Root tambi n deberia ser considerado muchos controles de seguridad como snort env an alarmas al buz n de Root Este buz n normalmente apunta al primer usuario que se cre en el sistema compruebe et c aliases Tenga cuidado de enviar correo de root a cualquier lugar donde pueda ser le do ya sea local remotamente Hay otros informes y alianzas en su sistema En un pequefio sistema sto probablemente lo m s simple para asegurarse de que todas las alianzas apunten hacia la cuenta de root y que el correo para root este dispuesto para el sistema de buz n personal del administrador ARREGLAME it would be interesting to tell how a Debian system can send receive SNMP traps related to security problems jfs Check snmpt raglogd snmp and snmpd 4 10 2 Usar un servidor de registro Un servidor de regiastro es un servidor que recoge remotamente datos syslog de la red Si una de sus m quinas es craqueada el intruso no puede cubrir sus huellas a menos de que tambi n altere el servidor de registro As el servidor de registro deber ser especialmente seguro Con vertir una m quina en servidor de registro es simple Simplemente lance syslogd con syslogd r y nace un nuevo servidor de registro Seguidamente con
80. de programaci n que pueden conducir a fallas potenciales de seguridad a flawfinder rats 8 5 Redes privadas virtuales ARREGLAME Contenido necesario Debian suministra bastantes paquetes para montar redes virtuales privadas encriptadas vtun tunnelv cipe vend m tinc a secvpn pptp freeswan IPsec i e FreeSWAN es probablemente la mejor opci n dado que esta promete interoperar con m s que cualquiera otra que use IPsec pero estos otros paquetes pueden ayudarlo a tener un tunel seguro en un momento de prisa PPTP es un protocolo de Microsoft para VPN Este es soportado bajo Linux pero se conoce que tiene serios problemas de seguridad para m s informaci n dir gase a VPN Masquerade HOWTO http www linuxdoc org HOWTO VPN Masquerade HOWTO html cubre IPsec y PPTP VPN HOWTO http www linuxdoc org HOWTO VPN HOWTO html cubre PPP sobre SSH y Cipe mini HOWTO http www linuxdoc org HOWTO mini Cipe Masq html PPP and SSH mini HOWTO http www linuxdoc org HOWTO mini ppp ssh index html Cap tulo 8 Herramientas de seguridad en Debian 82 8 6 Public Key Infrastructure PKI Infraestructura de claves p bli cas Cuando se considera un PKI usted est confrontandolo con una amplia variedad de herramien tas Un Autoridad de certificados que puede distribuir certificados y puede trabajar bajo una jerarquia dada Un directorio para apoyar los certificados de los usuarios p blico
81. demuestre si el concepto de c digo tambi n es correcto para security debian org el cual lo acceder a un an lisis con el equipo de seguridad Cap tulo 11 Preguntas Frecuentes 107 11 2 44 El n mero de versi n para un paquete indica que todav a estoy corriendo una versi n vulnerable En lugar de actualizar una nueva descarga podemos fijar la seguridad en backport a la versi n que fue enviada en la descarga establecida La raz n de esto es asegurarnos que una descar ga cambie posiblemente un poco algunas cosas o que se interrumpan repentinamente como un resultado de la seguridad fija Usted puede chequear si est corriendo una versi n segura de un paquete observando el paquete changelog o comparando su n mero de versi n exac ta versi n upstream slash descargar debian el n mero de la versi n exacta con la versi n indicada en el Asesor de seguridad Debian 11 2 5 Encontr usuarios haciendo su en mis bit coras Usted puede encontrar l neas en sus bit coras como Apr 1 09 25 01 Apr 1 09 25 01 uid 0 server su 30315 root nobody server PAM_unix 30315 su session opened for user nobody b No se preocupe tanto revise si esto se debe a un trabajo en funcionamiento a trav s de cron usualmente con etc cron daily findo logrotate grep 25 etc crontab 25 6 root test e usr sbin anacron etc cron daily grep nobody etc cron daily find cd amp
82. des de cortafuegos usted debe leer el Firewall HOWTO http www linuxdoc org HOWTO Firewall HOWTO html y el IPCHAINS HOWTO http www linuxdoc org HOWTO IPCHAINS HOWTO html Finalmente una buena carta para tener acceso es la Linux Security RefenceCard http www linuxsecurity com docs QuickRefCard pdf Cap tulo 2 Antes de empezar 17 De todos modos usted puede adquirir m s informaci n con respecto a los servicios aqu ex plicados NFS NIS SMB en muchos de los HOWTOs del Linuxdoc Project http www linuxdoc org Algunos de estos documentos hablan sobre la parte de seguridad de un servicio dado por lo que asegurese de echarles un vistazo Los documentos HOWTO del proyecto de Documentaci n est n disponibles en De bian GNU Linux por medio de la instalaci n del doc linux text versi n texto o doc linux html versi n html Despu s de la instalaci n estos documentos estar an disponibles en usr share doc HOWTO en txt y en los directorios usr share doc HOWTO en html respectivamente Otros libros de Linux recomendados Seguridad M xima de Linux Una gu a de Hacker para proteger su servidor Linux y la red An nimo Libro de bolsillo 829 p ginas Publicaci n Sams ISBN 0672313413 Julio 1999 Seguridad Linux por John S Flowers Nuevos viajeros ISBN 0735700354 Marzo 1999 Hacking Linux Exposed http www linux org books ISBN 0072127732 html por Bryan Hatch McGraw Hill educaci n super
83. do primero se baja luego el md5sum es generado El archivo de publicaci n firmado es revisado firma correcta y este se extrae del md5sum para el archivo Paquetes gz el n mero de comprobaci n de Paquetes gz es gen erado y si es correcto el md5sum del paquete que se baj es extraido de este Si el md5sum del paquete que se baj es el mismo que el del archivo Paquetes gz el paquete ser instalado o de lo contrario el administrador ser alertado y el paquete ser dejado en cache asi el administrador puede decidir si se instala o no Si el paquete no est en los Paquetes gz y el administrador ha configurado el sistema para instalar nicamente los paquetes revisados ste tampoco ser instalado Cap tulo 7 Firma de paquete en Debian 72 Adicional a esto la cadena de Sums MD5 apt es capaz de verificar si un paquete se origina desde una publicaci n espec fica Este es menos flexible que firmar paquete por paquete pero puede ser combinado con este esquema tambi n v ase m s abajo La firma de un paquete ha sido discutida en Debian de vez en cuando para may or informaci n usted puede leer http www debian org News weekly 2001 8 y http www debian org News weekly 2001 11 http www debian org News week1y 2001 8 yhttp www debian org News weekly 2000 11 7 2 Alternativa firmar esquema por paquete El esquema adicional de firmar cada uno y todos los paquetes permite que estos sean revisados cuando no
84. e Row eod 5k qe qo 13 1 6 Creditos y agradecimientos oo o ceo PEARSE EMERGES GE XC Roe ACE e 13 Antes de empezar 15 eL Para gue quiere usted estesistema cs scs dace x xor RO X EUR e 15 2 2 Estar enterado de los problemas de seguridad generales 15 23 goomo maneja Debianla seguridad ocos ss eaa dd 18 Antes y durante la instalaci n 21 AL Escoger UNA c ntrase a BIOS oo soose ea iaoa e RO AE 21 3 2 Escoger inteligentemente un esquema de partici n ss 21 3 3 No se conecte a Internet hasta que este listo sos Rs 22 3 4 Colocar una contrase a de root Administrador de Linux 22 3 5 Activar contrase as shadow y md5 ick eek koe em xx yoke eds 22 3 6 Ejecute el m nimo n mero de servicios requeridos 23 3 6 1 Deshabilitar los demonios 9 oo I Oe 9 m xU a 23 3 6 2 Deshabilitar los servicios inetd soo Romo 25 3 7 Lea las listas de correo de seguridad de Debian o o o 25 Despu s de la instalaci n 27 41 Colocar una contrase a a lilo o grub coco asnos 27 42 Eliminar el prompt de rootdelnGcleo oso ok o kaw ORES 28 4 3 Deshabilitar el arranque desde diskette 2 24 is n 29 4 4 Restricci n del acceso a la consola 2 22 2 aco RR Rd os 29 45 Montando particiones de manera correcta o ooo ooo oo 30 NDICE GENERAL IH 4 6 4 7 4 8 4 9 4 10 4 11 4 12 4 13 4 14 4 15 Aol Bene Hup
85. e a Internet hasta que este listo El sistema que usted va a instalar no debe ser conectado inmediatamente a Internet durante la instalaci n Esto puede sonar est pido pero usualmente se hace Ya que el sistema instalar y activar servicios inmediatamente si el sistema es conectado a Internet y los servicios no est n correctamente configurados usted est abierto a sufrir un ataque Tambi n verifique si alg n servicio tiene nuevas vulnerabilidades de seguridad no arregladas en los paquetes que usted est utilizando para la instalaci n Normalmente esto es cierto si usted est instalando desde un medio antiguo como CD ROMs En este caso puede estar comprometido antes de que la instalaci n se haya terminado Como la instalaci n y las actualizaciones de Debian pueden ser realizadas desde Internet usted debe pensar que es una buena idea usar esta caracter stica en la instalaci n Si el sistema va a ser conectado directamente a Internet y sin estar protegido por un cortafuegos o NAT es mejor instalar sin conexi n a Internet utilizando un espejo local de paquetes tanto para los fuentes de los paquetes de Debian como para las actualizaciones de seguridad Usted puede configurar los espejos de paquetes usando otro sistema conectado a Internet con herramientas espec ficas de Debian si es un sistema Debian como apt move o apt proxy u otras herramientas comunes para espejos que provean los archivos para el sistema instalado 3 4
86. e que indiscapacitando los modulos caragables usted puede sobrecargar el n cleo en ocasiones no es necesario Para indiscapacitar los modulos de soporte cargables solo valla a CONFIG MODULES n on config Defensa Reactiva La ventaja de la defensa reactiva es que tiene una sobrecarga en los recursos del sistema Este trabaja comparando el sistema de llamadas tabulando con una copia limpia conocida en el archivo de un diskette La mas obvia desventaja es llamada para el nico administrador cuando el sistema no ha sido comprometido El detector de rootkits en Debian puede ser consumado con chkrootkit Este programa re visa signos de rootkits sobre el sistema local y si el objetivo del computador es infectado con un rootkit Usted tambi n puede usar SKAT http s0Oftpj org en site html SKAT revisa el area de memoria del n cleo a dev kmemy para informaci n acerca del objetivo del servidor esta informaci n incluye la instalaci n de modulos cargables del n cleo ARREGLAME informaci n adicional sobre como compilar el soporte del nr ucleo w o lkm 9 4 Ideas geniales paran icas qu debe hacer sta es probablemente la m s inestable y divertida secci n ya que espero que algunas de de los duh ideas locas del sonido puedan ser realizadas Siguiendo aqui usted debera encontrar algunas ideas esto depende del punto de vista en donde usted observe si ellos son genios paran icos locos o si pueden dar una garant
87. e se ha definido etc sudoers Las Violaciones como las contrase as incorrectas o intentos de ejecutar un programa usted no tienen permiso para ser anotado y mandado por correo a root 4 7 6 Restringiendo usuarios A veces usted podr a pensar que necesita tener los usuarios creados en su sistema local para proporcionar un servicio pop3 manda por correo el servicio o ftp Antes de hacer eso primero recuerde que la aplicaci n de PAM en Debian GNU Linux le permite validar a los usuarios con una variedad ancha de el servicio de directorio externo el radio el ldap etc con tal de que por el el libpam sea empacado Si los usuarios necesitan ser creados y el sistema puede ser remotamente de acceso tome en cuenta que los usuarios sean capaces al login al sistema Usted puede arreglar esto dan do a los usuarios una nula dev nu11 interfaz de comandos l necesitar a ser listada en etc shells Si usted quiere perm tales a los usuarios acceder a el sistema pero limitar sus movimientos usted puede usar el bin rbash equivalente a agregar la opci n r en bash RESTICTED SHELL ver bash 1 Por favor note que incluso con la interfaz de comandos Cap tulo 4 Despu s de la instalaci n 37 restringido un usuario que entra en acceso a un programa interactivo eso podr a permitirle la ejecuci n de un subshell podr a poder desviar los l mites de el shell Debian no es proporcionado actualmente pero puede serlo en el futuro el m d
88. e volverse root De hecho ellos conseguir n un mensaje negado si ellos intentan volverse volverse root Si usted quiere que s lo ciertos usuarios autentiquen a un servicio de PAM esto es bastante f cil de lograr usando los archivos d nde los usuarios que son permitidos al login o no se guarden S lo imagine que usted quiere permitirle el login de ref to al usuario via ssh As que usted lo pone en etc sshusers allowed y le escribe lo siguiente en etc pam d ssh auth required pam listfile so item user sense allow file etc sshusers allowed onerr fail Por ultimo pero no menos importante cree etc pam d other y coloque las l neas sigu ientes auth required pam securetty so auth required pam unix auth so auth required pam warn so auth required pam deny so account required pam unix acct so account required pam warn so account required pam deny so password required pam unix passwd so password required pam warn so password required pam deny so Session required pam unix session so Session required pam warn so Session required pam deny so Estas l neas mantendr n una buena configuraci n predefinida en todas las aplicaciones que apoyan PAM se niega el acceso por el valor predeterminado Cap tulo 4 Despu s de la instalaci n 35 4 7 2 Los limites de el archivo conf Usted realmente debe hacer una mirada seria en este archivo Aqu usted puede definir los l mites de recurso del usuario Si usted usa PA
89. edes y servi dores en este archivo de configuraci n Sin embargo si no los necesita deber a limitar posibil idad de escuchar el puerto Cups tambi n ofrece documentaci n a trav s del puerto HTTP si no quiere revelar informaci n potencialmente til para agresores externos estando abierto el puerto tambi n agregue Location Order Deny Allow Deny From All Allow From 127 0 0 1 lt Location gt Este archivo de configuraci n puede ser modificado para afiadir muchas caracteristi cas incluyendo certficados SSL TLS y criptograf a Los manuales estan disponibles en http localhost 631 or at cups org ARREGLAME Add more content the article on Amateur Fortress Building http www rootprompt org provides some very interesting views ARREGLAME Check if PDG is available in Debian and if so suggest this as the preferred printing system ARREGLAME Check if Farmer Wietse has a replacement for printer daemon and if it s avail able in Debian 5 6 Asegurar el demonio de correo Si su servidor no es un sistema de correo usted realmente no necesita tener un demonio de correo escuchando conexiones entrantes pero usted podr a querer env o de correo local por Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 57 ejemplo para recibir el correo del usuario Root desde cualquier sistema de alerta que usted tenga en alg n lugar Para hacer esto en un sistema Debian tendr que elimin
90. egos 46 A adiendo parches al kernel ARREGLAME More content 46 Transferencia segura de archivos o oc lt s croc ocer a EE EES 47 L mites y control de los sistemas de archivos ooo 47 1141 Uso de Quotas sou uem a eaea a eee ox meo 47 21412 chsttr IsallE cos eea a s a a Yate a oes 48 4 14 3 Integridad de su sistema de archivos llle 49 4 14 4 Configuraci n de revisi n de setuid ou 49 Otras recomendaciones sooo e les 49 4 15 1 No use software que dependa de svgalib 49 NDICE GENERAL IV 5 Asegurando los servicios que se ejecutan en su sistema 51 Bd Aseg rando SSA noe e EK REESE ES OS HEED RE HERG deor qud de 52 su PRIA SQU A sida qox boo doe CE Ge bolo e Reed E oD 53 D Apad aues ik bdo A we PS Odd EERE EERE RHE qoem de d 53 5 4 Asegurando el acceso al sistema X Window a 54 54 1 Revisar su administrador visual 23520 cR 55 5 5 Seguridad en el acceso de impresi n El asunto de lpd y Iprng 55 5 5 Asegurar el demonio de cOffeO occ kho ara Roy woe a e 56 52 Recibiendo Coneo de forma Segura uuo o XR CU dee A E 57 DA Seeman BIND ii Be ee A BARS EERE ded 58 59 SERIO Apache o e iee moe moede n V n oe e Re AA Jr uod did 61 510 Asegurado ENEEP lt a ve a e eh egre RG Rex COR Roe ALE aua dou EG 62 5 11 Cambio general de directorio ra z y paranoia suid 62 5 12 Texto claro general con el
91. egundos antes del arranque del sistema por defecto timeout 3 password hackme Cap tulo 4 Despu s de la instalaci n 28 Para asegurar mas la integridad de la contrasefia usted podr a guardarla una forma encrip tada La utilidad de grub d5 crypt es que genera una contrasefia la cual es compatible con el algor tmo md5 de encripci n de grub Para especificar en GRUB que el formato de la con trasefia md5 ser usado use la siguiente instrucci n timeout 3 password md5 1 bwOezS tljnxxKLfMzmnDVaQWgjPO0 El par metro md5 fue agregado para instruir a grub a realizar el proceso de autenticaci n La contrasefia proporcionada es la versi n encriptada en md5 de hackme Usar el m todo de encripci n md5 es preferible a su contraparte en solo texto Mas informaci n acera de la contrasefia GRUB puede ser encontrada en el paquete de grub doc 42 Eliminar el prompt de root del n cleo Los n cleos de Linux 2 4 proporcionan una forma para tener acceso a la l nea de comandos del administrador que ser presentada justo despu s de cargar el sistema de archivos cramfs Un mensaje aparecer para permitir al administrador entrar en una l nea de comandos con permisos de root esta l nea de comandos puede ser usada manualmente para cargar m dulos cuando la autodetecci n falla Este comportamiento es el predeterminado para initrd s linuxrc El siguiente mensaje aparecer Press ENTER to obtain a shell waits 5 seconds Par
92. el logging de la pueba su a syslog Bastante importante en serias maquinas pero note que esto puede crear el retiro de los resultados a medida que esten bien SYSLOG SG ENAB yes Igual que SYSLOG SU ENAB pero lo aplica al programa sg Cap tulo 4 Despu s de la instalaci n 36 MD5 CRYPT ENAB yes Como lo expuesto anteriormente MD5 suma grandemente las contrasefias que reducen el problema de ataques del diccionario desde que usted puede usar las contrasefias m s largas Si usted est usando slink lea los documentos sobre MD5 antes de habilitar esta opci n Por otra parte esto esta fijo en PAM PASS MAX LEN 50 Si se activan las contrasefias de MD5 en su configuraci n PAM Entonces esta variable deber a ser ajustada al mismo valor que se uso all 4 7 4 Usarsu Si usted realmente necesita que los usuarios se vuelvan el super usuario en su sistema e g por instalar los paquetes o agregar usuarios usted puede usar el comando su para cambiar su identidad Usted debe intentar evitar cualquier login como root del usuario y en cambio usar su Realmente la mejor soluci n es quitar su y cambiar a sudo como l tiene m s rasgos que su Sin embargo su es m s com n como se usa en muchos otro Unixes 4 7 5 Usar sudo sudo le permite al usuario ejecutar los comandos definidos bajo la identidad de otro usuario as como root Si el usuario agrega a etc sudoers y se autentica correctamente l es ca paz de avanzar comandos en qu
93. en quiera inscribirse y hay archivos disponibles en la p gina web 11 4 1 C mo puedo contribuir con el equipo de seguridad Debian Para contribuir a este documento ajustar ARREGLAME proporcionando nuevos con tenidos La documentac n es importante y reduce la sobre carga de responder asuntos com nes La traducc n de este documento a otras lenguases de gran utilidad Por las aplicaciones de empacar que son tiles para proporcionar revisando la seguri dad en el usando un sistema Debian Si usted no es un revelador archive un WNPP bug http www debian org devel wnpp y solicite al sesoftware lo que usted considera til y no es com nmente proporcionado Auditar aplicaciones en Debian o ayudar a resolver la seguridad de errores de progra maci n y reportar asuntos a securiti debian org el proyecto de otros trabajos como Lin ux Kernel Security Audit Project http kernel audit sourceforge net or the Linux Security Audit Project http www 1lsap org incrementa la seguridad de Dbian GNU linux desde contribuciones que eventualmente ayudar n tambi n En algunos casos por favor revise cada problema antes de reportarlo para la securityQ debian org Si usted es capaz de proporcionar parches que agilisen el proceso sabiamente No simple mente enviar mails bugtraq desde que ellos todav a sean recibdos Sin embargo es una buena idea proporcionar informaci n adicional 11 4 5 Qui nes componen el equipo de segur
94. endo la firma Aseg rese que sus programas no no hacen ninguna codifi caci n o decodificaci n MIME o haya conversi n de tabuladores a espacio Un posible culpable es fetchmail con la codificaci n MIME habilitada y formail de procmail 3 14 nicamente 11 3 3 Como se tratan los incidentes de seguridad en Debian Una vez el equipo de seguridad recibe una notificaci n de un incidente uno o mas miembros lo revisan y consideran a Debian estable vulnerable o no Si nuestro sistema es vulnerable este es trabajado sobre el ajuste del problema El paquete se mantiene en buen contacto siempre y cuando no haya contacto ahora con la seguridad del equipo Finalmente el ajuste es probado y los nuevos paquetes son preparados los cuales entonces son compilados sobre toda la arqui tectura estable y son transferidos de un computador de la perifer a al centro despu s de que toda esta labor se hace el asesor de la seguridad DAS es enviado a los correos de lista p blica 11 3 4 Cu nto tiempo tomar Debian para ajustar la vulnerabilidad Analizando el tiempo que tarda la seguridad del equipo Debian al enviar un acesor y pro ducir paquetes ajustados es m nimo Una vez es conocida la vulnerabilidad sta se ajusta a la distribuci n estable r pidamete Un reporte publicado published in the debian security mailinglist http 1ists debian org debian security 2001 debian security 200112 msg00257 html mostr que en el afio 2001 este
95. ene que manejar su sitema de nuevo para cambiarlos El Switch de capacidad del modulo apagado Cuando desconecta el uso de modulos del n cleo en un tiempo compilado del n cleo muchos n cleo se basan en puertas traseras imposibles para poder implementarlas ya que muchos de ellos estan basados en la in stalaci n de modulos modificados del n cleo Entrando a trav s del cable serial contribuido por Gaby Schilders Dado que que los servidores aun tienen puertos en serie imag nese tener una m quina de registro de bit coras desconectada de su red en la mitad con un puerto serial multiplexor antiquisimo o algo similar Ahora todos sus servidores registrando a sus puertos seriales Con s lo escritura la m quina de registo nicamente acepta texto plano como entrada sobre sus puertos seriales y nicamente escribe en un archivo de registro Enganche un cd dvd writer Cuando el registro del archivo est cerca de 600 MB lo copia al cd rom Ahora si pudieran hacer quemadoras con auto cambiadores No copia tan dura como la im preosra pero que puede manejar largos vol menes y los cd no toman mucho espacio de almacenamiento Haga que todo sea inmutable tomado desde Tips HOWTO escrito por Jim Dennis De spues de que usted instale y configure su sitema dirigase a trav s de bin sbin usr bin usr sbin y usr 1ib y un poco de otros inusuales sospechosos y hagalo en uso liberal de chattr i command tambi n se suma en la r
96. entualmente se incluyeron aqu con sulte Listado de cambios Historia en la p gina 5 de Alexander A todas las personas que me animaron a escribir este COMO El cual posteriormente se convirti en el manual La totalidad del proyecto Debian Cap tulo 1 Introducci n 14 15 Cap tulo 2 Antes de empezar 2 1 Para qu quiere usted este sistema Asegurar Debian no se diferencia mucho de asegurar otro sistema para hacer esto apropiada mente primero usted debe decidir lo que pretende hacer con ste Luego tenga en cuenta que las siguientes tareas necesitan ser tomadas con cuidado si usted quiere un sistema de seguridad verdadero Usted encontrar que este manual est escrito de abajo hacia arriba lo cual significa que usted leer alguna informaci n sobre tareas para hacer antes durante y despu s de que la instalaci n de su sistema Debian est hecha Algunas tareas pueden ser pensadas as tales como Decidir cu les servicios usted necesita y limitar su sistema para ellos Esto incluye de sactivaci n desinstalaci n de servicios innecesarios y la adici n de filtros como corta fuegos o tcpwrappers Limitar usuarios y permisos en su sistema Asegurar los servicios ofrecidos de tal forma que en caso de un servicio comprometido el impacto a su sistema sea minimizado Usar las herramientas apropiadas para garantizar que el uso desautorizado se detecte de tal manera que uste
97. es de evaluaci n de vulnerabilidades como el primer tipo de ataque que corre en contra de los servidores remotos que intentan determinar los servidores remotos disponibles Actual mente Debian suministra nmap xprobe queso a knocker hping2 isic icmpush nbtscan Mientras quesoy xprobe suministran nicamente detecci n remota de sistemas opera tivos usando revisi n de huellas TCP IP nmap y knocker pueden detectar el sistema op erativo de detenci n y pueden revisar puertos de servidores remotos De otro lado hping2 y icmpush pueden ser usados para t cnicas remotas de ataque ICMP Dise ado espec ficamente para redes Netbios nbt scan puede ser usados para revisar redes IP y para traer informaci ne de nombres desde los servidores de SMB incluyendo nombres de usuario nombres de red direcciones MAC IN T Revisor en masa de Auditor a de seguridad N T herramientas de seguridad de auditor a para analisis de redes Cap tulo 8 Herramientas de seguridad en Debian 81 8 3 Auditor as internas Actualmente solamente la herramienta tiger es usada en Debian para ejecutar auditorias internas tambi n llamadas white box del servidor para determinar si el sistema de archivos son montados apropiadamente cuyos procesos est n escuchando en el servidor etc 8 4 Auditor a de c digos fuente Debian suministra dos paquetes que pueden ser usados para auditar programas escritos en C C y encuentran errores
98. esario Para m s informaci n acerca de las quotas lea el manual de p ginas sobre las quotas y el mini howto usr share doc HOWTO en html mini Quota html Usted puede o no gustar de 1she11 el cual viola el FHS Tambi n debe tener un cuenta que pam limits puede suministrar la misma funcionalidad que 1she11 el cual es hu rfano actual mente orphaned http bugs debian org 93894 4 14 2 chattr lsattr Estos dos comandos son muy tiles pero solo funcionan con el sistema de archivos ext2 Con Isattr puede listar los atributos de un campo y con chattr puede cambiarlos Note que los atributos no son l amisma cosa que los permisos Hay muchos atributos pero solamente men ciono los m s importantes para incrementar la seguridad Hay dos flags los cuales solamente los puede establecer el superusuario En primer lugar est flag a Si se establece un archivo este archivo puede ser abierto sola mente para a adir Este atributo es til para algunos archivos en var 1og aunque se podr a considerar que fuesen quitados algunas veces debido a la rotaci n de scripts de registro La segunda flag es i en corto immutable Si se establece un archivo no puede ser modificado ni borrado o renombrado y no se crear ning n link hacia l Si no quiere que los usuarios miren en sus archivos la configuraci n puede establecer este flag y quitar el permiso de lectura M s aun sto puede darle un poco m s de seguridad contra los
99. g manualmente los paquetes necesarios vea los paquetes instala dos en la lista de abajo Baje e instale ACID Analisis Consolado para Instrucciones para la Base de Datos ACID es un paquete corrientepara Debian con el acidlab esto ocaciona un grafico WWW in terfaz para sacar snort s Esto pude obtenerse desde http www cert org kb acid http acidlab sourceforge net or http www andrew cmu edu rdanyliw snort You might want to read the Snort Statistics HOWTO http www linuxdoc org HOWTO Snort Statistics HOWTO index html Usted puede montar este sistema con almenos dos interfaces una interfaz conectada para un mantenimiento lan para el acceso a los resultados y para mantener el sistema una interfaz conectada con ip direcci nagregada al sistema al segmento de la red para ser analizado Para configurar las tarjetas de red sin una ip direcci n usted no puede usar el standard s De bian etc network interfaces desde elifup y ifdown espere m s informaciones que necesita Usted tiene simple ifconfig eth0 up Usted necesita tener puesta instalaci ne Debian standard Apache MySQL y PHP4 por ACID para trabajar Downloaded paquetes Nota las versiones podrian variar dependiendo de cada distribuci n debian que usted usa esto es desde Debian woody septiembre 2001 es ACID 0 9 5b9 tar gz adduser 3 39 all deb apache common 1 3 20 1 i386 deb Cap tulo C Montar un IDS aislado 122 apache 1 3 20 1 1i386 de
100. gifure las otras m quinas para que envien datos al servidor de registro Para hacer sto permanentemente en Debian edite etc init d sysklogdy cambie la l nea SYSLOGD to SYSLOGD r Luego configure las otras m quinas al enviar los datos al servidor de registro Agrege una entrada como la siguiente etc syslog conf facility level G8 your loghost Mire la documentaci n para saber que usar en lugar de facility y level ellos no deben ser in troducirse de forma literal como se hace aqu Si usted quiere registrar todo remotamente escriba Cap tulo 4 Despu s de la instalaci n 43 your_loghost dentro de su syslog conf Registrar tanto remota como localmente es la mejor soluci n el atacante creer haber cubierto sus pasos despu s de eliminar los archivos locales de reg istro Para informaci n adicional consulte el manual de paginas syslog 3 syslogd 8 y syslog conf 5 4 10 3 Permisos para el archivo de registro No s lo es importante decidir como son usadas las alertas sino tambi n quienes tiene acceso a stas i e puede leer o modificar los archivos de registro si no se est usando un servidor remoto de registros Las alertas de seguridad que el atacante pueda cambiar o inhabilitar no son de mucho valor en el momento de la invasi n Algunos permisos para el achivo de registro no son perfectos desp es de la instalaci n Primero var log lastlog y var log faillogno necesitan tener un permis
101. grego en el inicio Por ejemplo firewalk para uno usara otro archivo de configuraci n para colocar el corta fuegos 5 15 1 Reglas Iptables Si usted est usando Debian 3 0 usted notara que el paquete iptables lo tiene instalado Este es el soporte para el 2 4 4 de la implementaci n de un filtro de la red de Kernel Ya que solo despues de la instalaci n el sistema no puede conocer ninguna regla corta fuegos reglas del corta fuegos son tambi n sistemas espec ficos usted debe habilitar iptables Para hacerlo como se debe es de la siguiente manera edite etc default iptables de tal manera que la variable enable iptables initd este colocada para true Cree un estructura del corta fuegos usando Iptibles usted puede usar la linea de coman do ver iptables 8 algunas herramientas proporcionadas por el paquete corta fue gos Debian ver Paquetes del Corta Fuegos en la p gina 66 Debe crear una estructura de reglas del corta fuegos para ser usada cuando el cortafuego est activo y otra cuando el corta fuegos est inactivo estas pueden ser reglas vac as Salvar las reglas que usted creo usando etc init d iptablessave active y etc init d iptables save active para recorrer estos escritos con las reglas cor ta fuegos que usted quiera capacitar Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 65 Una vez est hecha la estructura del corta fuegos sta es almacenada en el direc
102. iciar el sistema y entrar como root desde el login entre como root con una clave vac a Esto funcionar a menos que usted haya configurado el sistema m s firmemente por ejemplo si usted ha permitido usuarios con claves nulas y el administrador puede entrar puede entrar al sistema desde la consola Si usted ha introducido tambi n estas caracter sticas usted necesitar entrar en el modo sin gle LILO no necesita ser limitado si usted ha hecho esto tambi n necesitar reiniciar 1ilo justo despu s que el administrador lo reajusta Esto es totalmente dif cil desde que su etc lilo conf necesite ser atrapado por tener un sistema de archivo que es un disco de la memoria ram y no del verdadero disco duro Una vez que LILO no sea restringido usted puede Cap tulo 11 Preguntas Frecuentes 106 Presionar Alt shift o la tecla Control antes que el sistema BIOS finalice usted deber a obtener la entrada LILO a Escribir Linux single linux init bin sh 6 como linux 1 en la entrada usted deber a obtener una entrada a interfaz de comando en el modo singleuser este solicitar la clave aunque usted ya la conozca vuelva a montar read write the partition mount o remount rw Cambiar la clave del superusuario con passwd desde que usted sea el superusuario no se le solicitar la clave anterior 11 2 Misistema es vulnerable 11 231 He sufrido una interrupci n qu debo hacer Lea este docu
103. idad debian Normalmente el equipo de seguridad Debian consta de cinco miembros y dos secretarios El equipo de seguridad designa las personas para unirlas al equipo 11 4 6 La seguridad debian del equipo revisa los nuevos paquetes en debian No la seguridad de los equipos Debian no revisa cada paquete nuevo ni hay un chequeo autom tico lintian para detectar defectos en los paquetes nuevos desde esas revisiones es imposible detectarlos autom ticamente Sin embargo mantenerlos es completamente respon sabilidad de el software que es introducido en Debian y no en software y no un software que nisiquiera es asiganado por un revelador autorizado Ellos estan encargados de analizar el software y mantenerlo en la seguridad de aviso Cap tulo 11 Preguntas Frecuentes 111 11 4 7 Yo tengo una antigua versi n sobre Debian est soportada la seguridad Infortunadamente no la seguridad del equipo Debian no puede manejar la descarga estable de ste tambi n inestable y otras antiguas descargas Sin embargo usted puede esperar la seguridad de la informaci n actualizada por un periodo l mite de tiempo justo a un despues de que la distribuci n del nuevo Debian sea descargada Cap tulo 11 Preguntas Frecuentes 112 113 Ap ndice A El proceso de fortalecimiento es manejado paso a paso Un procedimiento siempre es util si le permite ver el proceso completo de fortalecimiento y le permita tomar desiciones Una posi
104. ilder mason el cual puede proponer reglas de corta fuegos basadas en el trafico de la red a su sistema sees bastille En medio de los fuertes pasos que pueden hacer nuevas versiones de bastille es la posibilidad de a adir reglas del corta fuegos del sistema para ser ejecutado en el sistema ferm a fwctl easyfw firewall easy m ipac ng m gfcc a knetfilter m firestarter Los ultimos paquetes gfcc son administradores GUIS usados o bien en GNOME los primeros dos o en KDE el ltimo est n orientados a usuarios i e para usuarios caseros ya que los otros paquetes en la lista est n m s orientados para administradores ARREGLAME Add more info regarding this packages ARREGLAME Check Information on Debian firewalling and what how does it change from other distributions ARREGLAME Where should the custom firewalling code be enabled common FAQ in debian firewall 67 Cap tulo 6 Fortalecimiento autom tico de sistemas Debian Luego de haber leido toda la informaci n en los cap tulos anteriores usted puede estar pensan do tengo que hacer muchas cosas para fortalecer mi sistema no podrian ser automatizadas estas cosas La respuesta es si pero tenga cuidado con las herramientas automatizadas Al gunas personas creen que una herramienta de fortalecimiento no elimina la necesidad de una buena administraci n Asi que no se sorprenda al pensar que usted puede automatizar todo el proceso y so
105. imir en etc hosts 1pd Sin embargo incluso si usted hace esto el demonio 1pr acepta las conexiones entrantes en el puerto 515 de cualquier interfaz Deberia considerar hacer una regla de cortafuegos para las conexiones de red servidor a las cuales no se permite la impresi n el demoniolpr no puede ser limitado a escuchar nicamente a una direcci n IP dada Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 56 Lprng se prefiere en lugar de 1pr porque este puede ser configurado para hacer el control de acceso a IP ademas se puede especificar cual interfaz va a emplear aunque sea un poco extrafio Si est usando el servicio de impresi n de su sistema pero solo localmente no querr com partir este servicio en la red Puede considerar el uso de otros sistemas de impresi n como el servicio proporcionado en cups PDQ http pdq sourceforge net elcualse basa en el permiso de un usuario del dispositivo dev 1p0 En cups los datos de impresi n se transfieren al servidor v a el protocolo http Esto significa que el programa del cliente no necesita ning n privilegio especial solamente requiere que el servidor est escuchando sobre un puerto cualquiera Sin embargo si usted quiere usar cups pero solo localmente usted puede configurar esto para escuchar a la interfaz loopback cambiando etc cups cupsd conf Listen 127 0 0 1 631 Hay muchas otras opciones de seguridad como por ejemplo permitir o negar r
106. inestable usualmente es arreglado r pidamente para la seguridad de datos actualizada Algunas veces estos son usualmente obstenidos en versiones r pidas otra versiones posteriores que se necesitan usualmente son backported 11 4 1 Por qu no hay r plicas oficiales de security debian org A el objetivo de seguridad debian org es permitir actualizaciones de seguridad de la forma m s r pida y f cil posible Las r plicas a adir an complejidad extra innecesaria y pueden la causar frustraciones si no est n actualizados 11 4 2 C mo puedo buscar el equipo de seguridad A La informaci n de seguridad puede ser enviada a la seguridad Debian org la cual es le da por todo el operador Debian Si usted tiene informaci n sensitiva por favor use el equipo de seguridad Debian org que solamente los miembros de seguridad del equipo pueden leer Si desea correo puede ser codificado con la seguridad Debian contacte la clave ID 363CCD95 Cap tulo 11 Preguntas Frecuentes 110 11 4 3 Qu diferencia hay entre seguridad Debian org y la lista de seguridad Debian org Cuando usted envia mensajes a la seguridad Debian org y Debian Estos son enviados a los reveladores de la lista de correo Debian privada todos estos est n suscritos a los reveladores Debian al enviar esta lista son guardados privadamente i e no son archivados en el web publico Debian security lists debian org es una lista de correos p blica a bierta para qui
107. ior ISBN 0072127732 Abril 2001 Otros libros tambi n relacionados con los temas generales de UNIX y la seguridad y no ex clusivamente con Linux Practical Unix and Internet Security 2nd Edition http www ora com catalog puis noframes html Garfinkel Simpson y Spafford Gene O Reilly Asociados ISBN 0 56592 148 8 1004pp 1996 Firewalls y la Seguridad de Internet Cheswick William R y Bellovin Steven M Addison Wesley ISBN 0 201 63357 4 320pp Algunos sitios Web utiles para mantenerse al tanto con respecto a la seguridad a Security Focus http www securityfocus com el servidor que contiene la base de datos y las listas de vulnerabilidad de Bugtraq Proporciona informaci n general de seguridad noticias y reportes Linux Security http www linuxsecurity com Informaci n referente a la seguridad de Linux en general herramientas noticias La m s Util es la p gina main documentation http www linuxsecurity com resources documentation 1 html Linux firewall and security site http www linux firewall tools com linux Con informaci n general con respecto a los cortafuegos en Linux y las her ramientas para controlarlos y administrarlos Cap tulo 2 Antes de empezar 18 23 C mo maneja Debian la seguridad A dar un vistazo general sobre la seguridad en Debian GNU Linux usted deber a tomar nota de los diferentes temas que Debian usa para proveer un sistema de seguridad
108. ipv4 icmp echo ignore broadcasts broadcast echo protection enabled echo 0 gt proc sys net ipv4 ip forward ip forwarding disabled echo 1 gt proc sys net ipv4 tcp syncookies TCP syn cookie protection enable echo 1 proc sys net ipv4 conf all log martians 4 Log packets with impossible addresses but be careful with this on heavy loaded web serversecho 1 gt proc sys net ipv4 ip always defrag defragging protection always enabledecho 1 proc sys net ipv4 icmp ignore bogus error responses bad error message protection enabled now ip spoofing protection for f in proc sys net ipv4 conf rp filter do echo 1 gt Sf done Cap tulo 4 Despu s de la instalaci n 46 and finally some more things Disable ICMP Redirect Acceptance for f in proc sys net ipv4 conf accept redirects do echo 0 f done for f in proc sys net ipv4 conf send redirects do echo 0 f done Disable Source Routed Packets for f in proc sys net ipv4 conf accept source route do echo 0 f done Log Spoofed Packets Source Routed Packets Redirect Packets for f in proc sys net ipv4 conf log martians do echo 1 gt Sf done 4 11 3 Configuarci n de las caracter sticas de los cortafuegos Para tener la capacidad del cortafuego para proteger el sistema local u otros detr s de este el kernel necesita estar compidalo con las capacidades del cortefuego El Debi
109. izando PAM Restrinja etc login defs tambi n si usted habilita MD5 y o PAM asegurese que usted hace los cambios carrespondientes ah tambi n inhabilite el acceso a root por ftp en etc ftpusers inhabilite la entrada v a red al root use su 1 0 sudo 1 considere instalar sudo Use PAM para hacer cumplir las restrinciones adicionales sobre logins Otros asuntos de la seguridad local Cambios de Kernel ver Caracter sticas de la red configurando kernel en la p gi na 44 Parches del Kernel ver Parches tiles del n cleo en la p gina 87 restrinja los permisos de los archivos de bit cora var log last fail log Apache logs Verifique que la revisi n de setuid est habilitada en etc checksecurity conf Considere hacer algunos archivos log append only y configurar archivos inmuta bles usando chattr ext2 filesystems nicamente Active integridad de archivos vea Integridad de su sistema de archivos en la p gi na 49 instale debsums Considere remplazar locate con slocate Enviar bit coras a una impresora local Queme su configuraci n sobre un CD de arranque y e inicie la m quina desde este incapacitar m dulos del kernel Limite el acceso a la red Cap tulo B Lista de chequeo de la configuraci n 119 e Instale y configure ssh se sugiere PermitRootLogin No etc ssh sshd config PermitEmptyPasswords No note que hay otras sugerencias en este texto Considere inc
110. la reinstalaci n o crezca el paquete estas conexiones estar n regeneradas probablemente no como usted quer a Si usted piensa que esto no es intuitivo probablemente usted estar a en lo cierto vea Bug 67095 http bugs debian org 67095 Del manual de paginas Si algunos archivos etc rcrunlevel d sk nombre ya existen entonces update rc d no hace nada Esto ocurre porque el sistema administrador puede reorganizar las conexiones permitiendo que ellos dejen la ultima conexi n que queda sin tener su configuraci n sobrescrita Si usted es usando ile rc toda la informaci n relativa a los servicios de entrada est mane jada por un archivo de configuraci n com n y es mantenido aun s los paquetes son removidos del sistema Usted puede usar el TUI Texto Interfaces del Usuario proporcionado por rcconf para hacer todos estos cambios f cilmente rcconf trabaja de dos formas por file rc y el sistema normal V runlevels Otros m todos no recomendables de servicios inhabilitados son chmod 644 etc init d demonio pero ste provocar un mensaje de error cuando usted en tre al sistema o modificar la escritura de etc init d demonio a adiendo una l nea con exit 0 al comienzo o comentando la parte start stop daemon Ya que los archivos init d son archivos de configuraci n stos no ser n sobrescritos al actualizar programas Desafortunadamente a diferencia de otros sistema operativos UNIX los servicios
111. lemente deber a mirar Estar enterado de los problemas de seguridad generales en la p gina 15 para saber como encontrar informaci n m s detallada Cap tulo 1 Introducci n 3 1 4 Lo que falta escribir ARREGLAME PORHACER Escribir sobre herramientas de monitorizaci n remota para comprobar la disponibili dad del sistema como monit una herramienta para monitorizar los demonios Con sultar la p gina http linux oreillynet com pub a linux 2002 05 09 sysadminguide html Considerar si escribir una secci n sobre como construir aplicaciones de red basadas en Debian con informaci n como el sistema b sico equivs y FAI Buscarenhttp rr sans org linux hardening php informaci n relevante que no ha sido tenida en cuenta Afiadir informaci n sobre como configurar un port til con herramientas de seguridad en Debian http rr sans org linux debian laptop php A adir informaci n de como se configura un cortafuegos usando Debian GNU Linux La secci n con respecto al cortafuegos actualmente est orientada hacia un solo sistema no protegiendo otros Afiadir informaci n sobre como configurar un cortafuegos proxy con Debian GNU Linux estipulando qu paquetes espec ficos proporcionan servicios proxy co mo xfwp xproxy ftp proxy redir smtpd nntp cache dnrd jftpgw oops pdnsd perdition transproxy tsocks Deber a dirigirse al manual para cualquier otro tipo de informaci n Adem s observe que zorp
112. los datos del tiempo de recorrido de sus datos de partic n e enviar nosuid noexec nodev montar opciones en etc fstab sobre la parti ci n ext2 tal como tmp Higiene de las contrase as y aseguramiento a la entrada Defina una buena contrasefia para el administrador Habilite shadowing y MD5 en las contrasefias Instale y use PAM Cap tulo B Lista de chequeo de la configuraci n 118 O Agregue MD5 para soportar PAM y aseg rese que en t rminos generales las entradas en el archivo etc pam d que permiten acceso a la m quina tengan en el segundo campo del archivo pam d definidoc com requisite o required o Cambie etc pam d login para permitir solamente entradas locales al ad ministrador o tambi n marque las tty atuorizadas en etc security access conf y generalmente configurar este archivo para limitar la entrada del administrador tanto como sea posible O Agregue pam_limits so si usted desea habilitar l mites para usuarios O Cambie etc pam d passwd especifique un tama o m nimo de con trase a podr an ser 6 caracteres y habilite md5 O agregue un grupo wheel a etc group si desea agregue pam_wheel para entrar a etc pam d su o para especificar controles por usuario iniciales use pam_listfile cuando sea apropiado o tenga un archivo etc pam d othery montarlo con seguridad alta ponga l mites en etc security limits conf note que etc limits no es usado si usted est util
113. los equipos de seguridad de las distribuciones de Linux m s grandes Las actualizaciones de seguridad raramente se dejan sin actualizar en una distribu ci n El conocimiento acerca de una vulnerabilidad nunca se esconde a otras distribuciones as que los arreglos se suelen hacer coordinados o por el CERT nttp cert org Como resultado las actualizaciones de seguridad necesarias suelen liberarse al mismo tiempo y la seguridad relativa entre las diferentes distribuciones es muy similar Una de las mayores ventajas de Debian en relaci n a la seguridad es la facilidad del sistema de actualizaci n a trav s de del uso de apt Aqui hay algun otro aspecto a considerar acerca de la seguridad de Debian Debian proporciona m s herramientas de seguridad que otras distribuciones mire en Herramientas de seguridad en Debian en la p gina 79 a instalaci n est ndar de Debian es m s peque a con menos funcionalidad y por lo tanto m s segura Otras distribuciones en favor de la usabilidad tienden a instalar mu chos servicios demanera predeterminada y algunas veces no est n bien configurados recuerde los gusanos Ramen o Lion http www sans org y2k lion htm La instalaci n de Debian no est tan limitada como OpenBSD donde no hay demonios ac tivados de forma predeterminada pero es un buen compromiso Debian documenta las mejores pr cticas de seguridad en documentos como este 11 1 2 Hay muchos errores de Debian en Bugtraq
114. lucionar todos los problemas relacionados La seguridad es un proceso con stante en el cual el administrador debe participar y no puede alejarse y dejar hacer todo a las herramientas dado que ninguna herramienta sencilla lo puede afrontar con toda la seguridad posible de las pol ticas de implementaciones todos los ataques y todos los entornos A partir de Woody Debian 3 0 existen dos paquetes espec ficos que son utiles para la seguri dad del fortalecimiento El fortalecimiento tomara un enfoque basado en las dependen cias del paquete para r pidamente instalar paquetes valiosos de seguridad y remover aque llos uqe tengan defectos la configuraci n de paquetes debe estar hecha por el administrador La bast illa que implementa unas pol ticas de seguridad proporcionadas por el sistema local basado en la cofiguraci n previa hecha por el administrador la elaboraci n de la configuraci n puede ser un proceso guiado hecho por preguntas sencillas de si y no 6 1 Fortalecer harden El paquete harden trata de hacer m s f cil la instalaci n y administraci n de hosts que necesi tan buena seguridad Este paquete deber a ser utilizado por gente que quiere una ayuda r pida para aumentar la seguridad del sistema Para hacer esto el paquete se contradice con otros que poseen defectos conocidos incluyendo pero ilimitadamente defectos de seguridad conoci dos as como el buffer se desborda uso de claves de texto plano falta de control de
115. maci n con respecto a rotaci n de contrase as relacionado estrechamente con la pol tica de seguridad Pol tica de seguridad y sobre la educaci n de los usuarios sobre la pol tica M s sobre tcpwrappers y wrappers en general hosts equiv y otros agujeros de seguridad Temas relacionados con servidores de ficheros tales como Samba y NFS suidmanager dpkg statoverrides lpr y Iprng Elimininar cosas de IP en GNOME Hablar sobre pam chroot consultar http http lists debian org debian security 2002 debian security 200205 msg00011 html y su utilidad para limitar a los usuarios Introducir informaci n relacionada con http online securityfocus com infocus 1575 Pdmenu por ejemplo est disponible en Debian mientras que flash no lo est Hablar sobre enjaular servicios chroot Informaci n adicional en http www linuxfocus org English January2002 aritcle225 shtml http www networkdweebs com chroot html y http www linuxsecurity com feature stories feature story 99 html Hablar sobre los programas para hacer jaulas chroot Compartment y chrootuid es t n en la cola de entrada Adem s algunos otros makejail jailer podr an ser introduci dos en el futuro Afiadir informaci n suministrada por Karl Hegbloom con respecto a enjaular BIND 9 Consultar http people pdxlinux org karlheg Secure Bind9 uHOWTO Secure Bind 9 uHOWTO xhtml Cap tulo 1 Introducci n 5 A adi
116. mente Debconf tiene ten a algunos problemas que consideran esto para m s informaci n vea Bug 116448 http bugs debian org 116448 Lo siguiente es un ejemplo m s completo Una nota sin embargo var podr an ponerse en noexec pero alg n software como Smartlist contiene sus programas en var El mismo aplica do a la opci n nosuid dev sda6 usr ext2 defaults ro nodev 0 2 dev sdal2 usr share ext2 defaults ro nodev nosuid 0 2 dev sda7 var ext2 defaults nodev usrquota grpquota 0 2 dev sda8 tmp ext2 defaults nodev nosuid noexec usrquota grpquota 0 2 dev sda9 var tmp ext2 defaults nodev nosuid noexec usrquota grpquota 0 2 dev sdal0 var log ext2 defaults nodev nosuid noexec 0 Cap tulo 4 Despu s de la instalaci n 31 2 dev sdall var account ext2 defaults nodev nosuid noexec 0 2 dev sda13 home ext2 rw nosuid nodev exec auto nouser async usrquota grpquota 0 2 dev fd0 mnt fd0 ext2 defaults users nodev nosuid noexec 0 0 dev fd0 mnt floppy vfat defaults users nodev nosuid noexec 0 0 dev hda mnt cdrom iso9660 ro users nodev nosuid noexec 0 0 4 5 1 Serie tmp noexec Tenga cuidado si esta poniendo tmpy usted quiere instalar el nuevo software desde que al guno podr a usarlo para la instalaci n Apt es uno de esos programas vea http bugs debian org 116448 sino configur propiamente APT ExtractTemplates TempDir vea apt extracttemplates 1 Usted puede poner esta variable en etc ap
117. mento y tome las medidas necesarias descritas aqu Si necesita asistencia ust ed puede usar debian security lists debian org para solicitar consejos sobre c mo recuperar parche y arreglar su sistema 11 2 2 C mo puedo encontrar el origen de un ataque Observando las bit coras si ellas no han sido cambiadas usando sistemas de detecci n de intrusi n observe Montar el descubrimiento de intrusi n en la p gina 85 traceroute whois y herramientas similares incluyendo an lisis forense usted puede encontrar un ataque a la fuente La manera como usted deber a reaccionar frente a esta informaci n de pende solamente del uso apropiado que usted le de a la pol tica de seguridad y que usted considere lo que es un ataque Es un scanner remoto un ataque Un ataque es una prueba de vulnerabilidad 11 2 3 Cualquier programa en Debian es vulnerable Qu debo hacer T mese un momento Primero observe si la vulnerabilidad ha sido anunciada en listas de correo de seguridad p blica como Bugtraq u otros foros el equipo de seguridad Debian permanece actualizado con estas listas de manera que ellos ya pueden estar enterados del problema No ejecute ningunas acciones remotas si usted ya observa alg n anuncio en http security debian org Si no observa nada de lo anteriormente nombrado por favor env e un correo a los paquetes afectados XXXtan bi n como una descripci n de la vulnerabilidad tan detallada como sea posible
118. minar la primera parte SSH 2 0 del mensaje que muchos clientes usan para identificar qu protocolo s soporta su paquete 11 1 8 Son seguros todos los paquetes de Debian El equipo de seguridad de Debian no puede analizar posiblemente todos los paquetes inclu idos en Debian en busca de vulnerabilidades potenciales porque simplemente no tienen re cursos suficientes para auditar todo el c digo fuente del proyecto De todas formas Debian se beneficia de la auditor a de c digo hecha por los desarrolladores de los proyectos orig inales y de otros proyectos como Proyecto de auditor a de seguridad del kernel de Linux http kernel audit sourceforge net oelProyecto de auditor a de seguridad de Linux http www lsap org De todas formas un desarrollador Debian podr a distribuir un troyano en un paquete y no habr a forma posible de comprobarlo Incluso si se introduce en una rama de Debian podr a ser imposible cubrir todas las posibles situaciones en las que un troyano puede ejecutarse Esa es la raz n por la que Debian tiene una cl usula de ro garant as en su licencia Aun as los usuarios de Debian tiene confianza en el hecho de que el c digo estable tiene una gran audiencia y la mayor a de los problemas pueden descubrirse con el uso Instalar progra mas no probados no es recomendable en un sistema cr tico si no puede hacer la auditor a de c digo necesaria En cualquier caso si se introduce una vulnerabilidad de seg
119. n manualmente los parches de Era dado que no se hab an incluido en la versi n anterior 1 5 18 Versi n 1 7 Cambios por Era Eriksson Se arreglaron errores ortogr ficos y se cambiaron algunas palabras Cambios por Javier Fern ndez Sanguino Pe a Cambios menores de las etiquetas para seguir removiendo las tt y sustituirlas por las etiquetas de prgn package 1 5 19 Versi n 1 6 Cambios por Javier Fern ndez Sanguino Pe a Se a adi el enlace al documento como se public en el DDP deber a reemplazar el original en el futuro cercano Comenz un mini FAQ deber a extenderse con algunas preguntas recuperadas de mi buz n Se a adi informaci n general a considerar cuando se est bastionando Se a adi un p rrafo con respecto al env o de correo local entrante Se a adieron enlaces de informaci n Cap tulo 1 Introducci n 12 Se a adi informaci n con respecto al servicio de impresi n Se a adi una lista de chequeo de bastionado Se reorganiz informaci n de NIS y RPC Se a adieron algunas notas tomadas mientras est leyendo este documento en mi nuevo visor Se arreglaron algunas l neas mal formateadas Se corrigieron algunos errores ortogr ficos Se a adieron ideas Geniales Parano cas contribuidas por Gaby Schilders 1 5 20 Versi n 1 5 Cambios por Josip Rodin y Javier Fern ndez Sanguino Pefia Se a adieron p rrafos relacionados con bind y
120. necesaria es analizar los registros de Squid asegur ndose que todas las cosas que est n trabajando deben hacerlo como se espera Hay algunos paquetes en Debian GNU Linux que pueden ayudar al administrador a hacer esto Los siguientes paquetes estan disponibles en woody Debian 3 0 calamaris Analizar de las bit coras de los proxy Squid y Oops modlogan Analizador modular de bit coras sarg Generador de Reportes de An lisis de Squid ARREGLAME Add more information about security on Squid Accelerator Mode 5 3 Asegurando FTP Si realmente tiene que usar FTP sin enmascararlo con sslwrap o dentro de un tunel ssl o ssh deber a hacer cambio del directorio ra z de FTP hacia el directorio de los usuarios ftp Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 54 de modo que que el usuario sea incapaz de mirar cualquier otra cosa que su propio derectorio De otra manera ellos pueden atravesar su sistema de archivos tal como si tuvieran una l nea de comandos Usted puede a adir la siguiente l nea en su proftpd conf en la secci n global para habilitar esta caracter stica del cambio de directorio ra z feature DefaultRoot Reinicie proftpd con etc init d proftpd restart y revise si puede escapar desde su directorio ra z ahora Para impedir los ataques de Proftp DoS use y adicione la siguiente l nea en etc proftpd conf DenyFilter No olvide que FTP env a login y con
121. nfig files of XFree 3 3 6 to do this 5 4 1 Revisar su administrador visual Si usted solamente quiere tener un administrador visual instalado para el uso local teniendo un bonito login grafico asegurarse que el material seguro XDMCP control de protocolo de administrador visual X este inhabilitado En XDM usted puede hacer esto con la siguiente linea etc X11 xdm xdm config DisplayManager requestPort 0 Normalmente todos los administradores visuales estan configurados para no iniciar los servi cios de XDMCP por defecto en Debian 5 5 Seguridad en el acceso de impresi n El asunto de Ipd y lprng Imagine que usted llega al trabajo y la impresora est botando interminables cantidades de papel porque alguien est negando el servicio de linea de su demonio de impresi n No es terrible En cualquier arquitectura de impresi n Unix tiene que haber la forma de enviar los datos de los clientes a los servidores de impresi n En el lpr ylp tradicional el comando del cliente es copiado o se hace un enlace simb lico de los datos en el directorio de cola por lo cual usualmente estos programas son SUID o SGID Para evitar algunos asuntos usted debe mantener seguros los servidores de impresi n Esto significa que usted necesita configurar su servicio de impresi n para que solo se permita la conexi n del conjunto de servidores confiables Para hacer esto es necesario a adir los servi dores a los que se les va a permitir impr
122. no encuentren v a de salida ARREGLAME Este procedimiento considera el servicio de fortelecimiento pero no el sistema de fortalecimiento a nivel de usuario incluir informaciones con respecto al chequeo de per misos del usuario archivos setuid y paros en el sistema usando el sistema de archivos Cap tulo A El proceso de fortalecimiento es manejado paso a paso 116 117 Ap ndice B Lista de chequeo de la configuraci n Este ap ndice reitera puntos de otras secciones de este manual condensando en un formato de lista de chequeo El prop sito es ser un resumen para quienes ya han le do el manual Tambi n hay otras buenas listas de chequeo disponibles KurtSeifried tiene una configuraci n basada en un curso en Securing Linux Step by Step http seifried org security os linux 20020324 securing linux step by step html ARREGLAME esto es basado en v1 4 del manual y podr a necesitar actualizarse l mitar la entrada para un acceso f sico Capacitar la contrasefia BIOS e incapacitar la entrada floppy cdrom e enviar una contrase a LILO o GRUB etc lilo conf o boot grub menu 1st respectivamente revisar que la configuraci n de los archivos LILO o GRUB sea de lectura protegida desaprobar el disco flexible MBR para iniciar por el respaldo de la floppy booting back door by overwriting the MBR maybe not partitura e Separe los datos del suscriptor no sistema de datos y cambiar r paidamente
123. no est a n disponible como un pa quete Debian pero es un cortafuegos proxy los desarrolladores oficiales proporcionan paquetes Debian Informaci n sobre la configuraci n de servicio con file rc Revisar todos los enlaces y URLs y arreglar eliminar los que ya no est n disponibles A adir informaci n sobre sustitutos disponibles en Debian para servidores comunes que son tiles para el funcionamiento limitado Ejemplos e lpr local cups paquete e lpr remoto con lpr bind con dnrd maradns apache con dhttpd thttpd wn tux e exim sendmail con ssmtpd smtpd postfix squid con tinyproxy e ftpd con oftpd vsftp M s informaci n referente a parches del nucleo relacionados con la seguridad en Debian incluyendo los mostrados anteriormente y hablando espec ficamente de como habilitar estos parches en un sistema Debian GNU Linux Cap tulo 1 Introducci n 4 e Linux Intrusion Detection 1ids 2 2 19 Linux Trustees en el paquete trustees e NSA Enhanced Linux http www coker com au selinux kernel patch 2 2 18 openwall http packages debian org kernel patch 2 2 18 openwall kernel patch 2 2 19 harden e Linux capabilities en el paquete 1cap kernel patch freeswan kernel patch int Detalles sobre como parar servicios innecesarios de red al margen de inetd Estos se encuentran parcialmente en el procedimiento de bastionado aunque podr an ampliarse un poco m s Infor
124. nstallation architecture am_root id u eq 0 get_md5sumsize cat 1 awk MD5Sum SHA1 MYARG 2 perl ne f split st if Sf 3 eq SENV MYARG print ST I Sf I2Z in exit 0 1 checkit local FILE 1 This program is free software you can redistribute it and or modify it under the terms of the GNU General Public License as published by the Free Software Foundation either version 2 of the License or Cap tulo 7 Firma de paquete en Debian 74 local LOOKUP S2 Y get_md5sumsize Release SLOOKUP Y echo SY sed s s g if e var lib apt lists SFILE then if Sy Ts then No file but not needed anyway echo OK return fi echo SFILE MISSING echo MISSING Y return fi if sy J then echo SFILE NOCHECK echo NOCHECK return fi X md5sum lt var lib apt lists SFILE wc c lt var lib apt lists S FILE X echo SX sed s s g if X SY then echo SFILE BAD echo BAD return fi echo SFILE OK echo OK echo echo Checking sources in etc apt sources list ola RS ROR A APA Re Be AA BERGE echo echo You should take care to ensure that the distributions you re downloadi echo are the ones you think you are downloading and that they are as up to echo date as you would expect tes
125. o de lec tura para un usuario normal En el archivo lastlog usted puede ver quien entr recientemente y en faillog usted mira un resumen de las entradas fallidas El autor recomienda cambiar per misos a 660 Haga una breve revisi n en sus archivos de registro y decida muy cuidadosamente cuales logfile deben tener permiso de lectura y escritura para un usuario con UID distinto a 0 y un grupo aparte de adm o root Quiero enfatizar que los permisos del archivo de registro apache son realmente malos debido al hecho de que el usuario apache tiene los registros del archivo apache Si un ususario obtiene un interfaz de comandos con una puerta trasera de apache ellos pueden eliminar f cilmente los archivos de registro 4 11 Uso del cambio de directorio ra z chroot es una de las posibilidades m s poderosas para restringir un demonio un ususario u otro servicio S lo imagine una c rcel alrededor de su objetivo del cual no puede escapar nor malmente hay sin embargo muchas condiciones que permiten un escape fuera de su c rcel Si usted no conf a en un usuario puede crear un cambio en el ambiente sto puede usar un pequefio espacio adicional de disco puesto que se necesita copiar todos los ejecutables nece sarios as como las biblioteca dentro de la c rcel A n si el usuario hace algo malicioso el alcance de un dafio es limitado al aseguramiento Un buen ejemplo de este caso es si usted no autentica en contra de etc passwd
126. o del servidor o de la red Por ejemplo las necesidades de seguridad de un usuario local son completamente diferentes a las de la red de un banco Mientras que un usuario local necesita defenderse contra el cracker script kiddie un banco tiene que preocuparse de ataques dirigidos Adem s el banco tiene que proteger los datos de sus clientes con precisi n milim trica En resumen todo usuario debe considerar el equilibrio entre utilizaci n y seguridad paranoia Observe que este manual solamente trata de asuntos relacionados con el software Ni el mejor software del mundo podr a protegerlo si alguien tuviera acceso f sico a la m quina Usted puede colocarla bajo su mesa o puede ponerla en un b nker con un ej rcito que la protega Sin embargo un ordenador de escritorio puede ser much simo m s seguro desde el punto de vista del software que un sistema protegido f sicamente si el primero de ellos se configura de la manera apropiada y el segundo est lleno de agujeros de seguridad L gicamente usted debe considerar ambos casos Este documento da una apreciaci n global de lo que usted puede hacer para incrementar la seguridad de su sistema Debian GNU Linux Si usted ha leido otros documentos con respec to a la seguridad en Linux encontrar que describen problemas comunes los cuales pueden solaparse con este documento Sin embargo este documento no intenta ser la nica fuente de informaci n que usted deber a usar s lo intenta adapt
127. odos los mensajes de los servidores 98 11 1 8 Son seguros todos los paquetes de Debian 4 6 esa onus 98 11 1 9 Por qu algunos archivos de registro configuraci n tienen permiso de lectura para todos No es eso inseguro 2a ee ee a 98 11 1 10 Por qu root o usuarioX tiene permisos 755 naaa 99 11 1 11 Tras instalar un grsec cortafuegos he empezado a recibir muchos men sajes de consola C mo puedo eliminarlos 99 11 1 12 Usuarios y grupos del sistema operativo sess 100 11 1 13 Por qu se crea un nuevo grupo cuando a ado un nuevo usuario O Por qu Debian crea un grupo para cada usuario 103 11 1 14 Preguntas acerca de servicios y accesos abiertos 103 11 1 15 He perdido mi password y no puedo tener acceso al sistema 105 Mi sistema es vulnerable e 106 112 1 He sufrido una interrupci n qu debo hacer ococizs o 106 11 2 2 C mo puedo encontrar el origen de un ataque 106 11 2 3 Cualquier programa en Debian es vulnerable Qu debo hacer 106 11 2 4 El n mero de versi n para un paquete indica que todav a estoy corrien do una version vulnerable vss hr Rr oh RR y Ry mm 107 11 2 5 Encontr usuarios haciendo su en mis bit coras 107 1125 Sotware ESPOCIAD xd aux ko b ace 3 bo A edo E EU 107 Preguntas con respecto al equipo de seguridad
128. ograma libre de errores Han salido avisos de seguridad relacionados con l Proporciona el programa todas las funcionalidades que necesita Proporciona m s de lo que realmente necesita 11 1 6 C mo puedo hacer el servicio XYZ m s seguro en Debian Puede encontrar informaci n en este documento acerca de c mo hacer algunos servicios FTP Bind m s seguros en Debian GNU Linux Para los servicios que no se cubran aqu mire la documentaci n del programa o informaci n general sobre Linux La mayor a de las gu as de seguridad para sistemas Unix tambi n se aplican a Debian En la mayor a de los casos se curizar un servicio X en Debian es como securizar ese mismo servicio en cualquier otra dis tribuci n de Linux o Un x Cap tulo 11 Preguntas Frecuentes 98 11 1 7 C mo puedo eliminar todos los mensajes de los servidores Si no le gusta que los usuarios se conecten a su servidor POP4 por ejemplo y obtengan in formaci n sobre sus sitema puede querer eliminar o cambiar el mensaje que los servidores muestran a los usuarios El hacer eso depende del programa que est ejecutando para un ser vicio determinado Por ejemplo en post fix puede configurar el mensaje de SMTP en etc postfix main cf smtpd banner Smyhostname ESMTP mail name Debian GNU Otros programas no son tan f ciles de cambiar OpenSSH tiene que ser recompilado para poder se cambiar la versi n que muestra Tenga cuidado con no eli
129. on respecto al particualar ataque que ha sido detectado Un ad ministrador tiene que configurarlos apropiadamente para que los falsos positivos no env en alertas y a las alertas tambi n se tengan en cuenta apropiadamente Las alertas pueden indicar un ataque en curso y puede no ser til por ejemplo que un dia mas tarde despu s del ataque exitoso este sea descubierto Para estar seguro que una pol tica es apropiada sobre la direcci n de alertas y para que los mecanismos t cnicos se puedan implementar y est n en su sitio Una interesante fuente de informaci n es CERT s Intrusion Detection Checklist http www cert org tech tips intruder detection checklist html 9 1 1 Detecci n de intrusos basadas en Red snort es un flexible paquete de sniffer o logger el cual detecta ataques usando un ataque de asignatura Este detecta una variedad de ataques y examinaciones tales como buffer overflows stealth pot scans ataques CGI examinaciones SMB y m s Snort tiene la capacidad de alertar en tiempo real Esta es una herramienta la cual debe ser instalada sobre toda ruta para mantener un ojo sobre su red Ya instalado apt get install snort siga las preguntas y obseve su registro Cap tulo 9 Antes del compromiso 86 Snort en Debian est habilitado con muchos chequeos de seguridad los cuales usted debe so licitar sin embargo usted debe personalizar el montaje para tomarlo dentro de las considera ciones de servicios particulares en d
130. onde usted avanza sobre su sistema Usted tambi n tiene que solicitarlo para recuperar los chequeos adicionales y asi especificar estos servicios Usted tambi n puede usar ambos snort para establecer detenci n de red para un rango de servidor en su red como tambi n detecta ataques de red sobre su propio servidor Hay otras herramientas que pueden ser usadas para detectar ataques de red aunque mas simples Port sentry es otro interesante paquete que puede sugerir su aislamiento cuando una examinaci n es hecha hacia su site Otras herramientas como ippl iplogger tambi n detectaran ataques de IP TCP Y ICMD igual que si ellos no suministraran t cnicas avanzadas para la detenci n de ataques de red como lo hace snort Usted puede evaluar cualquiera de estas herramientas con el programa idswakeup un generador falso positivo que alerta los NIDSs con plenitud de considerar ataques comunes disponibles en Debian 9 1 2 Servidores basados en la detenci n Tiger es una vieja herramienta de intrusi n de detenci n la cual ha sido soportada por De bian desde la distribuci n de woody Tiger suministra la forma de revisar asuntos comunes relatados para los rompimientos de seguridad passwords problemas en archivos del sistema procesos de comunicaci n La versi n de Debian incluye nueva seguridad espec fica para Debian MDSsums da suministros binarios y tambi n revisa los ya instalados y los paquetes vulnerables La falta de instalaci n
131. onios complejos Configure una celda de cam bio de directorio corra como non root pseudo user Instale snort o una herramienta de logging similar Prescinda de NIS y RPC si usted puede inhabilite portmap Pol ticas Eduque a los usuarios acerca de los porque y los como de sus pol ticas Cuando usted ha prohibido algo que normalmente est disponible en otros sistemas sumin istre documenteci n que explique como conseguir resultados similares usando otros medios m s seguros Prohiba el uso de protocolos que usa claves en texto plano telnet rsh y friends ftp imap http e Prohiba programas comoVGAIib Use quotas de disco Cap tulo B Lista de chequeo de la configuraci n 120 mant negase informado sobre asuntos de seguridad e Subscr base a la lista de correo de seguridad e Subscr base a las actualizaciones de seguridad adicione a etc apt sources list una entrada o entradas a http security debian org debian security e Adem s recuerde correr peri dicamente apt get update apt get upgrade tal vez instalar un cron job como se explic en Ejecute una actu alizaci n de seguridad en la p gina 32 121 Ap ndice C Montar un IDS aislado Usted puede montar f cilmente una m quina Debian como un Sistema de Detecci n de Instru sos usando snort Algunas pautas Instale una base de sistema Debian y no seleccione paquetes adicionales Baje e instale con dpk
132. or favor envielo como un pequefio reporte para los paquetes apropiados mire mas informaci n en usr share doc logcheck README Debian tambi n algunos de los chequeadores de archivo de sistemaintegrados mire en Integridad de Cap tulo 9 Antes del compromiso 87 su sistema de archivos en la p gina 49 puede ser absolutamenetutil para montar la detenci n de anomalias en un medio asegurado Unaintrusi n efectiva muy seguramente modificara los archivos en el sistema de archivos locales en orden para salvar las pol ticas de seguridad local Instala troyanos crea usuarios Este evento puede ser detectado con ellos 9 2 Parches tiles del n cleo ARREGLAME Las secciones necesitan como cubrir los parches espec ficos que pueden ser instalados en Debian usando el paquete del kernel 2 x x patch XXX Hay algunos parches de n cleos las cuales incrementan significativamente los sistemas de seguridad Aqui hay algunos de ellos OpenWall patch de Solar Designer sta es una serie til de restricciones de parches como enlaces FIFOs in tmp restringidos proc un archivo manejado por descriptor especial sin el rea de un grupo de usarios y otros mas homepage ht tp www openwall com linux LIDS Intrusion de detenci n del sistema Linux por Huagang Xie amp Philippe Biondi Este parche hace que el proceso duro de creaci n de Linux sea mas f cil Usted puede re stringir todos los procesos dar lo adecuado para escrbi
133. ormente una reliquia de BSD pero algunos programas siguen necesitando acceso directo de lectura a la memoria del sistema que se hace con SETGID kmem dialout Acceso directo y completo a los puertos serie Los miembros de este grupo pueden reconfigurar el m dem llamar a cualquier parte etc dip El nombre del grupo viene de Dial up IP y ser de ese grupo le permite usar her ramientas como ppp dip wvdial etc para comenzar una conexi n La mayor a de los usuarios de este grupo no pueden configurar el m dem pero pueden ejecutar programas que lo usa fax Permite a los miembros usar el programa de fax para enviar recibir faxes voice Voicemail usado por sistemas que usan m dems como contestadores cdrom Este grupo puede ser usado localmente para dar acceso al CDROM a los usuarios floppy Este grupo puede ser usado localmente para dar acceso a la disquetera a los usuarios tape Este grupo puede ser usado localmente para dar acceso a la cinta a los usuarios sudo Los miembros de este grupo no necesitan teclear la contrase a cuando usen el programa sudo Mire usr share doc sudo OPTIONS audio Este grupo puede ser usado localmente para dar acceso a los usuarios al disposi tivo de audio src Este grupo tiene el c digo fuente incluyendo los archivos de usr src Puede us arse para darle al usuario la capacidad de gestionar el sistema de c digo fuente shadow etc shadow es de lectura para es
134. os tecle xhost en su m quina Esto permite conenctar con su sistema a cualquier cliente X Para tener una seguridad ligeramente mejor puede usar el comando xhost hostname en vez de la anterior para permitir un acceso desde servidores espec ficos Una soluc n mucho m s segura es usar ssh como t nel de X y encriptar la sesi n completa sto se hace autom ticamente cuando se hace ssh a otra m quina Esto puede habilitarse en el archivo etc ssh ssh config colocando X11Forwardinga yes Cuando use SSH usted de suspender completamente el acceso basado de xhost Para mayor seguridad si no necesita acceso a X desde otras m quinas dehabilite el enlace con el puerto tcp 6000 tecleando simplemente startx nolisten tcp Este es el comportamiento original en XFree 4 0 el servidor X suministrado en Debian 3 0 Si est usando XFree 3 3 6 i e tiene un Debian 2 2 instalado puede editar etc X11 xinit xserverrcc para que tenga unas l neas como las siguientes Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 55 bin sh exec usr bin X11 X dpi 100 nolisten tcp Si usted est usando XDM digite etc X11 xdm Xservers 0 local usr bin X11 X vt7 dpi 100 nolisten tcp Lea mas sobre la seguridad X Window en XWindow User HOWTO http www linuxdoc org HOWTO XWindow User HOWTO html usr share doc HOWTO en txt XWindow User HOWTO txt gz ARREGLAME Add info on thread of debian security on how to change co
135. ould turn out to be a harmless indication that this script echo is buggy or out of date or it could let trojaned packages get onto echo your system fmt echo sed s UNVALIDATED echo fi if grep q BAD then allokay false echo The contents of the following files in var lib apt lists does not echo match what was expected This may mean these sources are out of date echo that the archive is having problems or that someone is actively echo using your mirror to distribute trojans if am root then echo The files have been renamed to have the extension FAILED and echo will be ignored by apt Cap tulo 7 Firma de paquete en Debian 77 cat BAD while read a do mv var lib apt lists a var lib apt lists a FAILED done fi fmt echo sed s BAD echo fi if grep q MISSING then allokay false echo The following files from var lib apt lists were missing This echo may cause you to miss out on updates to some vulnerable packages fmt echo sed s MISSING echo fi if grep q NOCHECK then allokay false echo The contents of the following files in var lib apt lists could not echo be validated due to the lack of a signed Release file or the lack echo of an appropriate entry in a signed Release file This probably echo means that the maintainers of these sources are slack but may mean echo these sources are
136. para 1 De otro modo sto no hace nada net ipv4 icmp echo ignore all 0 Si usted no quiere bloquear ICMP sobre su cortafuego permira sto net ipv4 tcp syncookies 1 Cap tulo 4 Despu s de la instalaci n 45 sta opci n es una espada de doble filo Por otra parte su sistema est protegido contra la inundaci n de syn por otra parte viola las normas definidas RFCs Esta opci n es totalmente muda como cuando usted inunda otro lado que est iniudado as que el otro lado tambi n est ocopado Si usted quiere cambiar est opci n usted tambi n puede cambiar sto dentro de etc network options para colocar syncookies yes proc sys net ipv4 conf all log martians 1 Los paquetes con direcciones imposibles debido a las rutas incorectas sobre el registro que obtuvo su red Este es un ejemplo del ajuste en otro material til Usted deber a afiadir sta informaci n dentro de la escritura de etc network interface secure el nombre dado como un ejemplo y es llamado desde etc network interfaces como ste auto etho iface ethO inet static address XXX XXX XXX XXX netmask 255 255 255 xxx broadcast XXX XXX XXX XXX gateway XXX XXX XXX XXX pre up etc network interface secure Script name etc network interface secure Modifies some default behaviour in order to secure against some TCP IP spoofing amp attacks Contributed by Dariusz Puchalak SF de db dt db dk echo 1 proc sys net
137. para que pueda escribir p ginas en var cache man lp Usado por los demonios de impresi n mail los buzones de var mail son del grupo mail como se explica en la pol tica El usuario y grupo se usan tambi n con otros prop sitos por varios MTAs news Varios servidores de noticias y programas asociados como suck usan el usuario y grupo news de varias formas Los archivos en la cola news son habitualmente del usuario y grupo news Programas como inews que pueden usarse para enviar noticias son t pi camente noticias con SETGID uucp El usuario y grupo uucp es usado por el subsistema UUCP Tiene su propia cola y archivos de configuraci n Los usuarios en el grupo uucp pueden ejecutar uucico proxy Como daemon este usuario y grupo lo usan algunos demonios especialmente demonios de proxy que no tienen usuarios dedicados y necesitan tener archivos Por ejemplo el grupo proxy lo usan pdnsd y squid majordom Ma jordomo tiene un UID est tico en sistemas Debian por razones hist ricas No se instala en sistemas nuevos postgres Las bases de datos de Postgresql son de este usuario y grupo Todos los archvos de var lib postgresql son de este usuario para reforzar la seguridad www data Algunos servidores web corren como www data El contenido no debe ser de este usuario o un servidor comprometido podr a reescribir el web Los datos escritos por el servidor web incluyendo los archivos de registro deben ser de
138. proceso especifico des de procfs pero no siempre una buenacopia de binarios ps deben alistar todos los procesos correctos de informaci n 9 3 2 Detector de rootkits El trabajo detector puede ser simple y doloroso o dif cil y agotador depende de la medida que escoja Hay dos medidas de defensa con respecto a la seguridad LKM la proactiva y reactiva Defensa proactiva La ventaja de esta defensa es que previene algunos dafios Ikm rootkit del sistema La defensa proactiva mas usada es obteniendo el primero este est caragando un disefio LKM para proteger los dafios de un sistema ocasionados por un disefio malicioso Hay otra medida para eliminar las capacidades en el n cleo haciendo el sistema mas seguro Por ejemplo usted remueve la capacidad para detener la carga y la descarga del m dulo del n cleo Sobre el sistema de Debian usted puede encontrar algunos paquetes los cuales son una her ramienta proactiva mas segura kernel patch 2 4 1sm LSM son los modulos de seguridad de la estructura Linux 1cap Remueve las capacidades en el n cleo haciendo del sistema mas seguro Cap tulo 9 Antes del compromiso 89 Si usted realmente no necesita muchas caracteristicas del n cleo sobre su GNU Linux usted tiene que solicitar modulos de soporte caragables incapacitados durante la configuraci n del nucleo Este previene LKM rootkits pero usted no debe usar las caracteristicas del modulo del nucleo sobre su GNU Linux Fijes
139. puede usar LDAP o MySQL As que su demonio ftp nicamente necesita un binario y quiz un poco de biblioteca Un cambio de directorio ra z seria un excelente seguro del mejoramiento de condiciones externas si una nueva vulneraci n es conocida para este demonio ftp entonces solamente el atacante puede vulnerar el UID del usuario de demonio ftp y nada m s Por supuesto muchos otros demonio tambi n podr n beneficiarse desde este modo de ar ranque Cap tulo 4 Despu s de la instalaci n 44 Sin embargo est prevenido que el seguro chroot puede estar da ado si el usuario entra en ste es el superusuario As que usted necesita que el servicio corra como un usuario no privile giado L mitando su ambien usted est l mitando la palabra le bles que el servicio de archivos ejecutables puede acceder as usted l mita las posibilidades de una subida del privilegio por el uso de vulnerabilidades de seguridad de los sistemas locales Incluso en sta situaci n usted no puede estar copmpletamente seguro de que no hay ninguna manera para que un atacante h bil se escape de alg n modo del aseguramiento Usando solamente un servidor de progra ma el cual tiene una reputaci n de medida de aseguramiento que es buena Incluso la cavidad minusiosa de archivos manuales puede ser abierta por un atacante h bil interrumpiendo el sistema por dentro Despues de todo chroot no fue disefiado como una herramienta de com probaci n Como una not
140. quiere preparar los l mites del usuario Session required pam limits so Esto restringe los recursos del sistema que se permiten a los usuarios vea en la siguiente pag ina Los l mites de el archivo conf en la p gina 35 Por ejemplo usted podr a restringir el n mero de logins coexistente de un grupo dado de usuarios o sistema ancho usted puede tener el n mero de procesos el tama o de memoria Ahora revise etc pam d passwd y cambie la primera l nea Usted debe agregar el md5 de la opci n para usar las contrasefias de MD5 cambie el lenght m nimo de contrasefias de 4 a 6 o m s y ponga un legth m ximo si usted desea La l nea resultante mirar algo como password required pam unix so nullok obscure min 6 max 11 md5 to log in Cap tulo 4 Despu s de la instalaci n 34 Si usted quiere proteger su un comando para que s lo algunas personas puedan usarlo para volverse a root en su sistema usted necesita agregar uno nuevo para agregar un nuevo wheel de grupo a su sistema sa es la manera m s limpia desde que ning n archivo tiene tal un permiso de grupo todav a Agregue el root y los otros usuarios que deberian ser capaces de ejecutar su a el usuario de root a este grupo Entonces agregue la l nea siguiente a et c pam d su auth requisite pam wheel so group wheel debug Esto asegura que s lo personas de el grupo wheel pueden usar su para volverse root Otros usuarios no seran capaces d
141. r informaci n suministrada por Pedro Zornenon con respecto a enjaular BIND 8 aunque nicamente para la versi n potato Consultar http people debian org pzn howto chroot bind sh txt includo todo el t tulo M s informaci n con respecto a los programas de an lisis de bit coras ie logcheck y logcolorise 1 5 Listado de cambios Historia 1 5 1 Versi n 2 4 Cambios por Javier Fern ndez Sanguino Pefia Reescrita la parte de la secci n BIOS 1 5 2 Version 2 3 Cambios por Javier Fern ndez Sanguino Pefia La mayor a de los archivos se encuentran marcados con la etiqueta file Fallo de ortograf a observado por Edi Stojicevi La secci n de herramientas de auditor a remota se ha modificado ligeramente Se a adieron algunas piezas de PORHACER Se a adi m s informaci n con respecto a impresoras y los archivos de configuraci n de cups tomado de un hilo en debian security Se a adi un parche suministrado por Jesus Climent relacionado con el acceso de usuar ios v lidos del sistema en Proftpd cuando se ha configurado como servidor an nimo Peque os cambios sobre divisiones de esquemas para el caso especial de servidores de correo Se a adi Hacking Linux Exposed para la secci n de los libros Error en directorio notificado por Eduardo P rez Ureta a Error ortogr fico etc ssh en la checklist notificado por Edi Stojicevi Cap tulo 1 Introducci n 6 1 5 3 Ver
142. r muy inseguros e ineficacez De cualquier modo usted recorre cualquiera de estos considere los dispositivos similares para ellos revocando los privilegios de root corriendo en un aseguramiento del cambio de directo rio raiz reemplazandolos con una equivalencia mas segura Cap tulo 5 Asegurando los servicios que se ejecutan en su sistema 63 5 12 Texto claro general con el password paranoia Usted deberia tratar de evitar cualquier servicio de red el cual envia y recibe contrasefias en un texto claro sobre una red como FTP Telnet NIS RPC El autor recomienda para todos el uso de ssh en cambio de telnet y ftp Mantenga en mente que migrar de telenet a ssh pero usando otros protocolos de texto claro no aumentan su seguridad de NINGUNA forma lo mejor seria eliminar ftp telnet pop imap http y suplantarlos con sus respectivos servicios codificados Usted debe considerar moverse desde otros servicios hasta sus versiones SSL ftp ssl telnet ssl pop ssl https Muchos de estas indicaciones numeradas en la parte superior se aplican a documentos en todo el sistema Unix Usted los encontrara si lee cualquier otro hardening related relacionado con lo que tiene que ver con Linux y otros Unix 5 13 Incapacitar NIS Es posible que usted no tenga que usar NIS en el servicio de informaci n de la red porque este permite que la contrasefia actue Este puede ser demasiado inseguro si su organizaci n est rota Si usted necesita que
143. r o leer archivos o remover por fallas y para tener la habilidad de leer archivos Adem s usted tambi n puede capacitar los para procesos certeros Aunque este permenece en la fase beta este es casi uno de los sistemas de administrador paranoico The Homepage http www lids org POSIX Control a acceso de listas Access Control Lists ACLs para Linux este parche se suma al control de acceso de listas un avanzado metodo para restringir accso de listas hacia el n cleo de Linux Homepage http acl bestbits at Consejo de administrador en linux Este parche se suma al decente avance de permisos del sitema para su n cleo de Linux Todos los objetos son surtidos en la memoria del n cleo Homepage http trustees sourceforge net Parches internacionales del n cleo Esta es una cripta orientada a los parches del n cleo Ademas usted tiene que prestar atenci n a sus leyes locales con respecto al uso de la criptografia Basicamente se suma la posibilidad de usar sistemas de archivos encripta dos Homepage http www kerneli org SubDomain Es una extenci n del n cleo para crear mas seguridad y f cilidades para montar chroot en su medio Usted puede especificar los archivos necesarios para el ser vicio manual de chrooted y para no compilar los servicios estaticamente Homepage http www immunix org subdomain html LIserIPAcct Este no es realmente un parche de seguridad relatado pero le permite crear cuotas para el tr
144. r usada de la siguiente manera apt get update apt release check resultados apt get dist upgrade Primero usted necesita Cap tulo 7 Firma de paquete en Debian 73 pulsar las teclas de archivo software que suele firmar archivos de Publicaciones http ftp master debian org ziyi key 2002 asc y las adiciona a gnupg trustedkeys gpg lo ucal es lo que gpgv se usa por defecto remover algunas etc apt sources list l neas que no utilizanla estructura normal de distribuciones o cambie el script de modo que este trabaje con ellas estar preparado para ignorar que las actualizaciones de seguridad Debian no hayan fir mado archivos de publicaciones y que los archivos de Fuente no tengan la suma de comprobaciones en el archivo de Publicaci n aun prep rese para verificar que las fuentes apropiadas son firmadas con las llaves propicias bin bash This script is copyright c 2001 Anthony Towns at your option any later version This program is distributed in the hope that it will be useful but WITHOUT ANY WARRANTY without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE See the GNU General Public License for more details s dB db db db db db db uk rm rf tmp apt release check mkdir tmp apt release check exit 1 cd tmp apt release check gt OK gt MISSING gt NOCHECK gt BAD arch dpkg print i
145. rackers Cap tulo 9 Antes del compromiso 92 93 Cap tulo 10 Despu s del compromiso 10 1 Conducta general Si usted se encuentra presente fisicamente cuando un ataque est sucediendo si al hacer lo siguiente no afecta las transacciones de negocios simplemente desconecte el NIC hasta que pueda descifrar lo que el intruso quiere hacer y asegure el computador inhabilitando la capa uno de la red es la unica v a verdadera de mantener al atacante alejado del equipo compro metido consejo prudente de Phillip Hofmeister Si realmente usted quiere arreglar el compromiso r pidamente usted deber eliminar el servi dor comprometido de su red y reinstalar el sistema operativo desde el comienzo Esto no de ber a tener ning n efecto si usted no sabe como el intruso se volvi root En este caso debe chequear todo firewall file integrity loghost logfiles y as sucesivamente Para m s informa ci n sobre que hacer y seguir una intrusi n observe Sans Incident Handling Guide http www sans org y2k DDoS htm o pasos del CERT para recuperarse de un compromiso en sistema UNIX o NT http www cert org tech tips root compromise html 10 2 Haciendo copias de seguridad del sistema Recuerde que si usted est seguro de que el sistema ha sido comprometido no puede confiarse del software o de alguna otra informaci n que est en ese momento Las aplicaciones podr an haber sido troyanizadas y m dulos del kernel estar instal
146. rados acorde a su pol tica de servi cios Si es posible y dependiendo de cada servicio usted puede tener un l mite de servicios si desea limitar cuando se usa m s de una interfaz externa para escuchar solamente cada una de ellas Por ejemplo si usted desea el acceso interno a FTP haga que el demonio escuche en su interfaz de administraci n solamente no sobre todas las interfaces i e 0 0 0 0 21 Reinicie la m quina o c mbiela para entrar a single user y vuelva a multiusuario con init 1 Tr m init 2 Revise los servicios disponibles actualmente y si es necesario repita estos pasos de nue vo Cap tulo A El proceso de fortalecimiento es manejado paso a paso 115 Instale ahora los servicios necesarios si usted todavia no lo ha hecho y configurelos apropiadamente Revise que usuarios son utilizados para correr los servicios deisponibles por ejemplo con for i in usr sbin lsof i grep LISTEN cut d f 1 sort u do user ps ef grep i grep v grep cut f 1 da echo Service i is running as user user done y considere cambiar estos servicios para un usuario o grupo dado que pueden tambi n ser cambiados de directorio ra z para incrementar la seguridad Puede hacer esto cam biando el script etc init d donde el servicio se activa La mayor a de servicios en Debian usan start stop daemon de tal forma que puede usar la opci n change uid y la opci n chroot para configu
147. rar estos servicios Cambiar el directorio ra z de los ser vicios est m s all del alcance de este documento pero ofrecemos una palabra de ad vertencia Usted podr a necesitar poner todos los archivos instalados por el servicio de paquetes usando dpkg L y los paquetes de los que dependen en el ambiente de cambio de directorio ra z Repita los pasos anteriores para revisar que los solamente los servicios deseados corran y que lo hagan como el usuario o grupo desea Pruebe la instalaci n de servicios para saber si trabajan como se esperaba Compruebe el sistema usando un revisor de aseguramiento de vulnerabilidades como nessus para determinar las vulnerabilidades del sistema configuraciones err neas servicios viejos o innecesarios Instale medidas de instrusi n por red y medidas de intrusi n por servidor como snort y logsent ry Repita el paso del revisor de red y verifique que los sistemas de detecci n de intrusi nd trabajan correctamente para los verdaderos paranoicos considere tambi n lo siguiente Agregar capacidades de cortafuegos al sistema aceptando conexiones entrantes sola mente para los servicios ofrecidos y limite conexiones salientes para los autorizados Vuelva a revisar la instalaci n con una nueva herramienta de revisi n de vulnerabili dades Revise las conexiones salientes usando un revisor de red desde el sistema a un servidor externo y verificque que las conexiones indeseadas
148. rav s del paquete lasg es una gu a completa que conecta todos los asuntos relacionados con la seguridad en Linux desde la seguridad del n cleo has ta VPNs Esto es algo obsoleto sin actualizar desde 1999 y ha sido reemplazado por la base del conocimiento de la Seguridad de Linux actualmente no est disponible en l nea pero usualmente est en http www securityportal com Lksb sin embargo en este momento no est ah Esta documentaci n tambi n es proporcionada en Debian a trav s del paquete 1ksb En Securing and Optimizing Linux RedHat Edition http www linuxdoc org links p_books html securing_1linux usted puede encontrar un documento sim ilar a este manual pero relacionado con RedHat Algunos de los asuntos no son espec fi cos de la distribuci n y tambi n se aplican a Debian ntersectAlliance ha publicado un documento que puede ser usado como una carta de referencia sobre como fortalecer los servidores de Linux Esto est disponible en nt tp www intersectalliance com projects index html Para administradores de red una buena referencia para construir una red segura es el Securing your Domain HOWTO http www linuxsecurity com docs LDP Securing Domain HOWTO Si quiere evaluar los programas que usted va a usar o quiere reforzar uno de los nuevos deber a leer el Secure Programs HOWTO http www linuxdoc org HOWTO Secure Programs HOWTO html Si usted est considerando instalar las capacida
149. regar soporte MD5 a las aplicaciones de PAM desde que esto ayuda protege contra los cracks passwords del diccionario que puede ser m s largo usando MD5 Lo siguiente debe agregarse dos l neas a todos los archivos en etc pam d ese acceso de concesi n a la m quina como login and ssh Be sure to install libpam cracklib first or you will not be able password required pam cracklib so retry 3 minlen 12 difok 3 password required pam unix so use authtok nullok md5 i As qu hace esta maravilla Las primeras cargas de la l nea en el cracklib m dulo de PAM que proporciona la contrasefia strenght checking fuerza verificando las sugerencias para una nueva contrasefia con una longitud m nima de 12 car cteres una diferencia de por lo menos 3 car cteres de la contrasefia vieja y permite 3 reintentos La segunda linea introduce el m dulo de la autenticaci n normal con las contrasefias de MD5 y permite una cera de contrasefia de longitud El director use authtok es necesario para entregar la contrasefia del m dulo anterior Para asegurarse que el root administrador de Linux del usuario s lo puede anotarse en el sistema de los t rminos locales la l nea siguiente debe habilitarse en etc pam d login auth requisite pam securetty so Entonces usted debe agregar los t rminos que el root del usuario puede anotar en el sistema en etc security access conf Ultimo pero no menor a la l nea siguiente debe ser los anabled si usted
150. riteria Si est interesado en obtener una distribuci n certificada pruebe a proporcionar los recursos para que ello sea posible 11 1 4 Hay alg n programa de securizaci n para Debian S Bastille Linux http www bastille linux org originalmente orientado hacia otras distribuciones de Linux RedHat y Mandrake actualmente funciona para Debian Los pasos est n siendo tomados para integrar los cambios hechos a la versi n original al paquete Debian llamado bastille Sin embargo algunas personas creen que una herramienta de securizaci n no elimina la necesi dad de una buena administraci n 11 1 5 Quiero ejecutar el servicio XYZ cu l deber a elegir Una de las mayores fortalezas de Debian es la gran variedad de elecciones posibles entre pa quetes que proporcionan la misma funcionalidad servidores de DNS servidores de correo servidores de FTP servidores WEB etc Eso puede resultar confuso para el administrador novel al tratar de determinar que paquete es el adecuado La mejor opci n para una situaci n concreta se basa en el compromiso entre su funcionalidad y los requerimientos de seguridad Hay algunas preguntas que debe contestar antes de decidir entre paquetes similares Se mantiene el programa original Cuando fu su ltima versi n Est el paquete maduro El n mero de versi n realmente no no informa acerca de su madurez Trate de indagar acerca de la historia del programa Est el pr
151. s Una base de datos para mantener listas de certificados revocados Dispositivos que pueden operar con CA para mantener smartcards usb tokens o lo que sea para almacenar certificados seguramente Aplicaciones que tienen en cuenta los certificados dados que pueden certificarse por un CA para llevar a cabo una comunicaci n encriptada y revisar certificados dados contra CRL para la autenticaci n y soluciones de firma completa sencilla Un reloj fechador que autoriza firmar los documentos digitalmente Una consola de administraci n desde el cual todos pueden ser usados apropiadamente certificado de generaci n lista de control de revocaci n etc Usted puede usar algunos de los programas disponibles en Debian GNU Linux que cubre algunas de sus herramientas este incluye open SSL para generaci n de certificados Open LDAP como un directorio para apoyar los certificados soporte gnupg y freeswan con x 509 Sin embargo el sistema operativo no suministra hasta la versi n woody 3 0 cualquiera de los certificados libremente disponibles tales como pyCA Open CA OpenCA http www openca org o los ejemplos de CA de OpenSSL Para m s informaci n lea Open PKI book http ospkibook sourceforge net 8 7 Herramientas antivirus No hay muchas herramientas de antivirus en Debian probablemente por que los usuarios de GNU Linux no son regularmente plagados por los virus Este ha tenido sin embargo gusanos y virus para
152. s adicionales se creaban y se usaban para restringir el acceso a los archivos compartidos asocia dos a directorios de proyectos diferentes La gesti n de archivos era dif cil cuando un usuario trabajaba en multiples proyectos porque cuando alguien creaba un archivo este se asociaba al grupo principal al que perteneciera ej users El esquema de Debian soluciona este problema asignando a cada usuario su propio grupo as que con la m scara adecuada 0002 y el bit SETGID habilitado en un directorio dado el grupo correcto se asigna adecuadamente para los archivos creados en ese directorio Eso hace m s f cil para la gente que trabaja en multiples proyectos porque no tienen que cambiar grupos o umasks cuando trabajan o comparten archivos Puede como siempre cambiar este comportamiento modificando etc adduser conf Cambiar la variable USERGROUPS a no de tal forma que no se cree un grupo cuando se cree un usuario Tambi n poner USERS GID al GID del grupo de usuarios al que pertenecer n los usuarios 11 1 14 Preguntas acerca de servicios y accesos abiertos Por qu est n todos los servicios activados tras la instalaci n Es una aproximaci n al problema de por una parte la seguridad y por otra la usabilidad Al contrario que como OpenBSD deshabilita los servicios a no ser que los habilite el admin istrador Debian GNU Linux habilitar todos los servicios instalados a no ser que se desactiven Cap tulo 11 Preguntas Frec
153. s de log en usr include sys syslog h Cap tulo 11 Preguntas Frecuentes 100 ficativas define LOG EMERG 0 sistema no usable define LOG ALERT 1 se debe actuar inmediatamente define LOG CRIT 2 condiciones cr ticas define LOG ERR 3 condici n de error define LOG WARNING 4 condici n de aviso define LOG NOTICE 5 condiciones normales pero signi define LOG INFO 6 informativo define LOG DEBUG 7 mensajes de depuraci n 11 1 12 Usuarios y grupos del sistema operativo Son necesarios todos los usuarios del sistema Si y no Debian viene con algunos usuarios predeterminados id de usuario UID 99 como es t descrito en la Pol tica de Debian http www debian org doc debian policy o usr share doc base passwd README para facilitar la instalaci n de algunos servicios que requieren que se ejecute bajo el usuario UID adecuado Si no tiene intenci n de instalar nuevos servicios puede eliminar los usuarios que no tengan ning n archivo en su sistema y no ejecuten ning n servicio tranquilamente En cualquier caso el comportamiento predetermina do es que los UIDs del 0 al 99 se reservan en Debian y los UIDs del 100 al 999 se crean por los paquetes cuando se instalan y se eliminan cuando el paquete se elimina completamente Para encontrar f cilmente los usuarios que no tienen ning n archivo ejecute el comando co mo root ya que un
154. s de seguridad de Linux gracias a Dave Wreski por comentarlo Cap tulo 1 Introducci n 7 1 5 6 Versi n 2 0 Cambios por Javier Fern ndez Sanguino Pe a Quise cambiar la versi n 2 0 cuando todos los ARREGLAMEs estaban cambiados pero los elimin de los n meros 1 9X Se convirti el HOWTO a un manual ahora puedo decir apropiadamente LEJM Se a adi m s informaci n con respecto a los tcpwrappers y a Debian ahora muchos servicios est n compilados con soporte para ellos as que ya no es problema de inetd Se aclar la informaci n sobre como deshabilitar el servicio rpc para hacerlo m s consis tente la informaci n rpc hac a referencia a update rc d Se a adieron peque as notas sobre Iprng Se agreg alguna informaci n sobre servidores comprometidos a n muy r stico Se corrigieron fallos ortogr ficos detectados por Mark Bucciarelli Se a adieron algunos pasos en la recuperaci n de password para proteger los casos en que el administrador tiene paranoid mode on Se a adi informaci n para colocar paranoid mode on cuando el login est en la conso la Nuevo p rrafo para introducir las configuraciones de servicios Se reorganiz la secci n Despu s de la instalaci n Adem s sta se descompone en varios temas m s facilitando la lectura Se escribi informaci n sobre como montar un cortafuegos con el montaje est ndar de Debian 3 0 paquete iptables Un peque
155. s de todos los archivos en contra de md5sums usado en el paquete del archivo Debian Tenga cuidado con algunos archivos porque pueden ser f cilmente cambiados Adem s puede reemplazar locate por slocate slocate es una versi n mejorada para la seguridad de local de GNU Cuando usa slocate el usuario solomante ve los archivos a los que el tiene acceso y puede excluir cualquier archivo o directorio del sistema 4 14 4 Configuraci n de revisi n de setuid Debian sumunistra un trabajo cron que diariamente corre en etc cron daily standard Este trabajo cron ejecutar el script usr sbin checksecurity que almacenar la informa ci n de estos cambios Para que este chequeo sea hecho usted debe colocar CHECKSECURITY DISABLE FALSE dentro de etc checksecurity conf Note que este es el predeterminado a menos de que usted haya cambiado algo esta opci n ser colocada como FALSE El comportamiento por defecto no manda la informaci n al superusuario pero en cambio guar da diariamente copias de los cambios dentro de var log setuid changes Usted debe colocar el CHECKSECURITY EMAIL dentro de etc checksecurity conf a root Mire checksecurit y 8 para mas informaci n de configuraci n 4 15 Otras recomendaciones 4 15 1 No use software que dependa de svgalib SVGAlib es muy bueno para los amantes de la consola como yo pero durante mucho tiempo se ha comprobado que esto ha sido muy inseguro Han sido liberadas fallas en contr
156. scubrimiento de intrusi n see ro aa 85 9 1 1 Detecci n de intrusos basadas en Red uaaa 85 9 12 Servidores basados en la detenci n oer nn 86 92 Parches tiles del n cleo usu uo oe Rok k oe AA eS darn 87 DX Evitando ICONOS 2305 Vete Heke a ae Emo eR a A 88 9 3 1 LKM Loadable Kernel Modules m dulos cargables en el n cleo 88 93 2 Detector dergotkitsi doa semi a sa se Rom e E EO oo OS es 88 9 4 Ideas geniales paran icas qu debe hacer cose o ewes 89 9 4 1 Construyendo un equipo trampa s ss e s sa s aaa eors ee ano 91 10 Despu s del compromiso 93 ID Cee EEE o he qe ep ok Se ee aer Pole e dede i rede uod 93 10 2 Haciendo copias de seguridad del sistema o o ace eto x Rm 9n 93 JUD An lisis AM EE ep Ee ee ee RE i a 94 11 Preguntas Frecuentes 95 11 1 La seguridad en el sistema operativo Debian cc ccoo rx 95 11 1 1 Es M s seguro Debian gue X isis e e dus 95 11 1 2 Hay muchos errores de Debian en Bugtraq Significa eso que es muy y lnerable x bc ah ek OSE X EUR RAE rerama e XE X PER EES 96 11 1 3 Tiene Debian alguna certificaci n relacionada con la seguridad 97 11 1 4 Hay alg n programa de securizaci n para Debian 97 11 1 5 Quiero ejecutar el servicio XYZ cu l deber a elegir 97 NDICE GENERAL VI 11 2 11 3 114 11 1 6 C mo puedo hacer el servicio XYZ m s seguro en Debian 97 11 1 7 C mo puedo eliminar t
157. si n 2 3 Cambios por Javier Fern ndez Sanguino Pefia Cambio de ubicaci n del fichero de configuraci n de dpkg Alexander eliminado de la informaci n de contacto Se a adieron direcciones de correo alternativas Se arregl la direcci n de correo de Alexander a n entre comentarios Se arregl la ubicaci n de la llave publicada de la distribuci n gracias a Pedro Zorzenon por se alarlo 1 5 4 Versi n 2 2 Cambios por Javier Fern ndez Sanguino Pe a Se arreglaron errores ortogr ficos gracias a Jamin W Collins Se a adi una referencia a la p gina de manual de apt extracttemplate documenta la configuraci n APT ExtracTemplate Se a adi la secci n sobre SSH restringido Informaci n basada en los correos enviados por Mark Janssen Christian G Warden y Emmanuel Lacour en la lista de correo debian security Se a adi informaci n sobre programas antivirus Se a adi un FAQ las bit coras de su debido al cron que se ejecuta como root 1 5 5 Versi n 2 1 Cambios por Javier Fern ndez Sanguino Pe a Se elimin el ARREGLAME de Ishell gracias a Oohara Yuuma Se agreg un paquete para sXid y se eliminaron comentarios desde que ste se encuentra disponible Se corrigieron algunos fallos ortogr ficos descubiertos por Oohara Yuuma ACID est ahora disponible en Debian en el paquete acidlab Gracias a Oohara Yuuma por notificarlo Se arreglaron los URL
158. son tan referenciados por un archivo de Paquetes existentes adem s los paquetes tercera persona donde nunca existieron Paquetes para que estos tambi n puedan ser usados en Debian sin embargo no ser n un esquema por defecto Este esquema de firma de paquetes puede ser implementado utilizando debsig verifyy debsigs Estos dos paquetes pueden firmar y verificar firmas implantadas en el deb itself Debian ya tiene la capacidad de hacer esto ahora pero el implementar esta pol tica y las her ramientas no ser iniciado hasta despu s de la publicaci n de Woody as como no retrasa su ciclo de publicaci n NOTA Normalmente etc dpkg dpkg cfg se desmonta con no debsig como por defec to 7 3 Revisar publicaciones de paquete En caso que usted desee implementar seguridad adicional revise que pueda usar el script infe rior proporcionado por Anthony Thown Este script puede hacer nuevas revisiones de seguri dad autom ticamente para permitir al usuario estar seguro que el software que l ella est bajando une el software de distribuci n de Debian Esto abstiene a los ralizadores de Debian de producir da os en el sistema de alguien sin la responsabilidad proporcionada cargando el archivo principal o espejos reflejando algo casi pero no del todo parecido a Debian o espejos proporcionando copias atrasadas inestables con problemas de seguridad conocidos Esta muestra de c digo renombrada como apt release check deber a se
159. stas Sep 4 15 11 08 nexus named 13439 group named Sep 4 15 11 08 nexus named 13439 user named Gwow su nombre ahora no corre como ra z Para archivar la m xima seguridad de Bind aho ra contruya su aseguramiento del cambio de directorio raiz ver Uso del cambio de directorio ra z en la p gina 43 alrededor de su demonio Hay una forma f cil para hacer esto la opci n t ver el manual de pagina named 8 Esto le permitir por si mismo un cambio de direc torio raiz Bind dentro del directorio dado sin que usted necesite instlar un aseguramiento en el cambio de directorio raiz y sin preocuparse por la dinamica de librerias Los nicos archivos que necesitan estar en ese cambio de aseguramiento de directorio son dev null etc bind should hold named conf and all the server zones sbin named xfer if you do name transfers var run named should hold the pid and the name server cache if any this directory needs to be writable by named user var log named if you setup logging to a file needs to be writabl for the named user dev log syslogd should be listening here if named is configure to log through it Para que su denmonio BIND trabeje apropiedamente este necesita permiso en los archivos nombrados sta es una tarea f cil ya que los archivos de configuarci n estan siempre en etc named Tenga en cuenta que esto solamente necesita acceso de lectura para los archivos de
160. sted quiere recorrer el servicio de finger primero preguntese si usted necesita realizar esto Si lo hace usted mismo descubrira que Debian proporciona muchos demonios finger Puest fuera deapt cache search fingerd cfingerd Demonio finger configurable efingerd Es otro demonio finger para unix capaz de una fina sintonizaci n de su rendimiento ffingerd Un demonio seguro fingerd Remoto servidor de la informaci n del usuario BSD Demonio finger con soporte qmail ffingerd es el demonio finger recomendado para si usted va ausar esto para un servicio publico De todos modos usted se fortalece cuando establece este a traves de inetd xinetd o tcpserver para limitar el numero de procesos que estaran corriendo al mismo tiempo limitar el acceso para el demonio finger a partir de un numero dado por los servidores usando el wrappers tcp y teniendo esto solamente por audici n para la interfaz en la que usted necesita estar 5 11 Cambio general de directorio ra z y paranoia suid Es probablemente favorable decir que la complejidad de BIND es la raz n por la cual este ha sido revelado a muchos atacantes en los a os recientes ver seguridad Bind en la pagina 52 ver Asegurando BIND en la p gina 58 Otros programas con caracteristicas complejas y una larga base del usuario instalado incluyen Sendmail y algunos demonios e g WUftpd Evidentemente un programa sin caracteristicas y sin satisfacer que pueden se
161. stemas de comprobaci n de integri dad como herramientas de detecci n de intrusos Se a adi un cap tulo con respecto firmas de paquetes 1 5 11 Versi n 1 95 Cambios por Javier Fern ndez Sanguino Pefia Se a adieron notas con respecto a la seguridad de Squid enviadas por Philipe Gaspar Cambios de enlaces sobre rookits gracias a Philipe Gaspar 1 5 12 Versi n 1 94 Cambios por Javier Fern ndez Sanguino Pefia Se a adieron algunas notas con respecto a Apache y Lpr Ipng Se a adi alguna informaci n con respecto a noexec y particiones de acceso aleatorio Reescritura de como puede el usuario ayudar en los asuntos de seguridad Debian FAQ 1 5 13 Versi n 1 93 Cambios por Javier Fern ndez Sanguino Pefia Se arregl el sitio donde se encuentra el programa de correo Se a adieron algunos nuevos elementos a las FAQ Cap tulo 1 Introducci n 10 1 5 14 Versi n 1 92 Cambios por Javier Fern ndez Sanguino Pefia A adi una peque a secci n de como se maneja la seguridad en Debian Clarificaci n sobre las contrase as MD5 gracias a rocky Afiadida un poco m s de informaci n con respecto a harden X de Stephen Egmond A adi algunos art culos nuevos al FAQ 1 5 15 Versi n 1 91 Cambios por Javier Fern ndez Sanguino Pefia A adida un poco de informaci n forense enviada por Yotam Rubin Afiadi informaci n de como construir una red trampa con De
162. t apt conf a otro directorio con privilegios exec que no sea tmp Con respecto al noexec por favor sea consciente que no podr a ofrecerle tanta seguri dad Considere esto cp bin date tmp tmp date does not execute due to noexec lib ld linux so 2 tmp date works since date is not executed directly 4 5 2 Serie usr leer nicamente Si usted pusiera usr leer nicamente usted no podr instalar los nuevos paquetes en su Debian GNU sistema Linux Usted tendr primero que remontar leer escribir instale los paquetes y entonces rem ntelo leer nicamente La ltima versi n apt en Debian 3 0 woody puede configurarse para ejecutar las rdenes antes y despu s de instalar los paquetes para que usted pueda propiamente querer configurarlo Hacer esto modifica etc apt apt conf y agrega DPkg Pre Invoke mount usr o remount rw Post Invoke mount usr o remount ro y Note que el Post invoke puede fallar con un usr busy error en el mensaje Esto pasa prin cipalmente cuando usted est usando los archivos durante la actualizaci n en que se puso al d a Incomodando pero no realmente una cantidad grande S lo hacerlo seguro que sto ya no se use y ejecute Post Invoke manualmente Cap tulo 4 Despu s de la instalaci n 32 4 6 Ejecute una actualizaci n de seguridad En cuanto generalmente se revelen los nuevos bugs de seguridad en los paquetes mantenedo
163. talaci n 30 4 5 Montando particiones de manera correcta cuando se monta una partici n ext2 usted tiene varias opciones adicionales para aplicar a el llamado montaje o a etc fstab Por ejemplo este fstab entra por la partici n tmp dev hda 7 tmp ext2 defaults nosuid noexec nodev 0 2 dev hda7 tmp ext2 defaults nosuid noexec nodev 0 2 usted ve la diferencia a las secciones de opciones La opci n nosuid ignora los bits setuid y setgid completamente mientras que noexec prohibe la ejecuci n de programas en ese punto de montaje y nodev ignora los dispositivos Esto suena grandioso pero esto nicamente se aplica a archivos del sistema ext2 puede ser evitado f cilmente La opci n noexec previene los binarios de ejecutarse directamente pero se enga a f cilmente alex joker tmp mount grep tmp dev hda7 on tmp type ext2 rw noexec nosuid nodev alex joker tmp date bash date Permission denied alex joker tmp lib ld linux so 2 date Sun Dec 3 17 49 23 CET 2000 Sin embargo muchos script kiddies cuentan con xploits que intentan crear y ejecutar los archivos en tmp Si ellos no tienen una pista ellos entrar n en esta trampa En otros t rminos un usuario no puede enga arse en ejecutar un binario troyanizado en tmp e g por ejemplo cuando l agrega a prop sito tmpdentro de su PATH Tambi n se previene de alg n programa que podr a depender en que tmp sea ejecutable M s notable
164. te grupo Algunos programas que necesitan acceso a este archivo tienen SETGID shadow Cap tulo 11 Preguntas Frecuentes 103 utmp Este grupo puede escribir en var run utmp y archivos similares Los progra mas que necesitan escribir ah tienen SETGID utmp video Este grupo puede ser usado para dar a los usuarios acceso al dispositivo de video a staff Permite a los usuarios a adir modificaciones locales al sistema usr local home sin necesidad de tener privilegios de root Comparar con el grupo adm que est m s relacionado con monitorizaci n seguridad users Mientras los sistemas Debian usan el sistema de usuarios privados de forma prede terminada cada usuario tiene su propio grupo algunos prefieren un sistema de grupos m s tradicional en el que cada usuario es miembro de este grupo Qu diferencia hay entre el grupo adm y el staff El grupo adm son habitualmente administradores y los permisos de este grupo permiten leer los archivos de registro son tener que usar su El grupo staff es util en soporte admin istradores junior porque les permite trabajar en usr local y crear directorios en home 11 1 13 Por qu se crea un nuevo grupo cuando a ado un nuevo usuario O Por qu Debian crea un grupo para cada usuario El comportamiento predeterminado de Debian consiste en que cada usuario tiene su grupo privado El esquema tradicional de UN X asigna todos los usuarios al grupo users Los grupo
165. ting and unstable should be no more than echo two or three days out of date stable updates no more than a few weeks echo or a month fmt echo cat etc apt sources list sed s grep t while read ty url dist comps do Cap tulo 7 Firma de paquete en Debian 75 if S url http o url ftp then baseurl S url else continue fi echo Source ty url dist comps rm f Release Release gpg wget q O Release url dists dist Release if grep q Release then echo NO TOP LEVEL Release FILE else origline sed n s Origin p Release head 1 lablline 2 sed n s Label p Release head 1 suitline sed n s Suite p Release head 1 codeline sed n s Codename p Release head 1 dateline grep Date Release head 1 dscrline grep Description Release head 1 echo o Origin Sorigline lablline echo o Suite suitline codeline echo o dateline echo o dscrline if S dist Ssuitline a S dist Scodeline then echo WARNING asked for dist got Ssuitline Scodeline fi wget q O Release gpg S url dists S dist Release gpg sigline gpgv status fd 3 Release gpg Release 3 5 amp 1 gt dev null 2 gt amp 1 sed n s GNUPG GOODSIG 0 9A Fa f p if sigline then echo
166. tom el equipo de seguridade Debian un termino medio de 35 d as para ajustar la seguridad vulnerable relacionada Sin embargo sobre el 50 de las vulnerabilidades fueron ajustados en 10 d as y el 15 fueron ajustados algunos d aslos avisos que fueron registrados Sin embargo cuando se formula est pregunta la gente se hace estas preguntas trata de no olvidar que Cap tulo 11 Preguntas Frecuentes 109 a DSAS no es enviada hasta que los paquetes esten disponibles para todas las arquitecturas soportadas por Debian este toma algun tiempo para paquetes que son parte del sistema central con siderando especialmente el numero de la arquitectura soportadas en las publica ciones estables e Nuevos paquetes evaluados completamente para asegurar que las imperfecciones no sean introducidas El paquete ser a obtenido antes de que el DSA sea enviado a lafila de entrada o de espejos Debian es un proyecto conformado por voluntarios Hay una cla sula no hay garant as que son parte de la licensia con la cual debian es otorgado 11 4 C mo es manejada la seguridad para prueba e inestable la respuesta corta es esto no es La prueba y lo inestable son r pidamente movidos objetiva mente y el equipo de seguridad no tiene los medios apropiados que necesita para soportarlos si usted quiere tener un servicio seguro y estable usted est motivado a trabajar con lo es table Sin embargo como un hecho real lo
167. torio var lib iptables y ser ejecutada cuando el sistema arranque o cuando reinicie el script con los argumentios start y stop Por favor tenga en cuenta que la configuraci n inicial de Debian carga el c digo del corta fuegos en los niveles del multiusos 2 5 muy pronto 10 Es detenido en el nivel monousuario 1 c mbielo si no es la pol tica local Prevenga que algunos de los paquetes se encuentran fuera de la linea pueden intrducir es critos del corta fuegos para ser recorrido esto afectara indudablemente a la estructura comun y a usted entoces tendra un efecto indeseado Consulte la documentaci n del paquete de doc umentaci n y use algunas de estas organizaciones Si usted no tiene un indicio sobre como colocar sus reglas al corta fuegos consulte el Paquete Filtrador HOWTO proporcionado por iptables al leer fuera de la linea en usr share doc iptables html 5 15 2 Elsistema local corta fuegos Usted puede usar las reglas de corta fuegos cono una forma para asegurar el acceso en un sistema local invluso para limitaer la salida de comunicaci n hecha por este Las reglas corta fuegos pueden ser usadas tambi n para protejer procesos que no pueden ser configurados apropiadamente ni proveer servicios para algunas redes direcciones IP etc Sin embargo este paso se presentara despues en el manual basicamente porque es mucho mejor para no depender nicamente de la capacidad del corta fuegos para protejer un sistema dado
168. trasefias de autenticaci n en el texto plano esto no es un problema si usted est proporcionando un servicio p blico an nimo y hay buenas alternativas en Debian para sto Por elemplo s ftp sumistrado por ssh Tambi n hay implementaciones libres de SSH para otros sistemas operativos por ejemplo putty http www chiark greenend org uk sgtatham putty y cygwin http www cygwin corm Sin embargo si a n mantiene el servidor de FTP mientras los usuarios acceden a SSH podr a encontrar un problema t pico Usuarios que acceden a los servidores An nimos de FTP dentro de un sistema asegurado con SSH es el camino intentar entrar en el servidor FTP Mientras el acceso se niegue la contrasefia nunca se enviar por la red en texto plano Para evitar esto el desarrollador de ProFTPd TJ Saunders cre un parche que impide a los usuarios an nimos del servidor FTP intentar contrasefias con cuentas SSH v lidas M s informaci n y parches disponibles en ProFTPD Patches http www castaglia org proftpd Patches 5 4 Asegurando el acceso al sistema X Window Hoy en d a m s y m s empresas usan las terminales X cuando necesitan un servicio para muchas estaciones de trabajo sto puede ser peligroso porque necesita permitir que un servi dor de archivos se conecte con los clientes el servicio X desde el punto de vista X X intercam bia la definici n de cliente y servidor Si sigue la muy mala sugerencia de muchos documen t
169. tulo 4 Despu s de la instalaci n 48 Cada partici n directorio al que los usuarios tienen acceso completo de escritura deber an permitir el uso de quotas Encuentre esas divisiones y directorios y calcule un tamafio de quota trabajable que combine el uso y la seguridad Ahora que usted quiere usar quotas Primero que todo usted necesita revisar que habilito el uso de quotas en el kernel Si no usted necesitar recompilarla Despu s de sto d se cuenta que el paquete quota est instalado Si no est usted necesitar este Habilitar la quota para los respectivos sistemas de archivos es tan f cil como modificar la configuraci n inicial ajust ndola a defaults usrquota en su archivo etc fstab Si usted necesita un quota para grupos sustituya usrquota por grpquota Puede us ar ambos Luego cree unos archivos quota user y quota group vacios en la ra z de los sis temas de archivos en los que usted quiera usar quotas Ej con touch home quota user home quota group para el sistema de archivos home Reinicie la quota haciendo etc init d quota stop etc init d quota start Ahora la quota deber a estar ejecut ndose y los tama os de las quoatas pueden establecerse Modificar quotas para un usuario espec fico digamos ref puede hacerse con edquota u ref Los grupos de quotas se pueden modificar con edquota g group Despu s es tablezca el limite suave y duro para las quotas y o quotas de i nodos cuando sea nec
170. uci n em pezando nuevos proyectos como los mecanismos de verificaci n autom tica de firmado de paquetes Debian trata de proveer una cantidad til de herramientas relacionadas con la seguri dad para la administraci n y monitorizaci n del sistema Los desarrolladores tratan de relacionar estrechamente estas herramientas con la distribuci n para hacerlas mejores y as reforzar las pol ticas locales de seguridad Las herramientas incluyen controladores de integridad herramientas de auditor a herramientas de firewall herramientas para detectar intrusiones etc Los mantenedores del programa est n enterados de los temas de seguridad Esto conduce a muchos servicios seguros por defecto en la instalaci n que puede imponer ciertos l mites algunas veces para su uso normal Sin embargo Debian trata de balancear los asuntos de seguridad y la facilidad de administraci n por ejemplo los sistemas no son instalados desactivados como en las distribuciones de la familia BSD De cualquier mo do algunos asuntos especiales de seguridad como programas setuid forman parte de Debian Policy http www debian org doc debian policy Este mismo documento trata de hacerse valer tanto como la mejor de las distribuciones se guras publicando informaci n de seguridad espec fica de Debian la cual complementa otros Cap tulo 2 Antes de empezar 19 documentos de informaci n de seguridad relacionados con las herramientas usadas por
171. uentes 104 mire en Deshabilitar los demonios en la p gina 23 para ver m s informaci n Despu s de todo usted instal el servicio no es as Han habido muchas discusiones con las listas del correo en Debian las dos Debian devel y debian security acerca de cual ser a una mejor aproximaci n en la instalaci n predetermina da Sin embargo mientras se escrib a este documento marzo 2002 no se ha alcanzado un consenso Puedo eliminar inetd Inetd no es f cil de eliminar porque netbase depende del paquete que lo provee netkit inetg Si quiere deshabilitarlo mire Deshabilitar los demonios en la p gina 23 o elimine el paquete usando el paquete equivs Por qu tengo abierto el puerto 111 El puerto 111 es el portmapper de sunrpc y se instala de manera predeterminada como parte del sistema base de Debian porque no se sabe cuando un programa de usuario necesitar usar RPC para funcionar correctamente En cualquier caso se usa mayormente en NFS Si no lo necesita elim nelo tal y como se explica en Desactivar los servicios RPC en la p gina 63 Cual es el uso de identd puerto 113 El servicio identd es un servicio de autenticaci n que identifica al usuario de una conexi n TCP IP concreta al servidor remoto que acepta la conexi n T picamente cuando un usuario se conecta a un servidor remoto inetd del servidor remoto le manda de vuelta una consulta al puerto 113 para encontrar la informaci n del
172. ulo del pam_chroot Una alternativa a este chroot es el servicio que proporciona el logging remo to ssh telnet Si usted desea restringirlo when los usuarios pueden acceder a el sistema que usted quiere tener personalizado etc security access conf para sus necesidades Restringiendo ssh para los usuarios Los sshd de Debian no le permitir n restringir el movimiento del usuario a trav s del servidor desde que le falte la funci n de Chroot que el anuncio sshd2 el programa tiene uso de Ch rootGroups o ChrootUsers vea sshd2 config 5 Sin embargo hay un parche disponible eso le permitir hacer esto el parche puede recuperarse del informe Bug report 139047 http bugs debian org 139047 o http www cag lcs mit edu raoul y podr a aplicarse en el paquete de OpenSSH en el futuro Emmanuel Lacour tiene los paquetes del ssh con este rasgo a http debian home dn net woody ssh yendo a trav s de el paso de la recopilaci n se recomienda sin embargo Una descripci n de todos los pasos necesitados puede encontrarse en http mail incredimail com howto openssh casi todos son aplicables a Debian aun cuando habla sobre RedHat 7 2 Despu s de aplicar el parche simple mente usted modifica lo que necesita el etc passwd cambiando el camino de la casa de los usuarios con la especial ficha joeuser x 1099 1099 Joe Random User home joe bin bash Esto restringir both accesos de el interfaz de comandos remoto
173. una nota en rcconf en la secci n deshabilitar servicios Vari el enfoque con respecto a LKM gracias a Philipe Gaspar Se a adieron enlaces a documentos del CERT y fuentes de informaci n de Couterpane 1 5 7 Versi n 1 99 Cambios por Javier Fern ndez Sanguino Pefia Se a adi un nuevo FAQ con respecto al tiempo de arreglo de vulnerabilidades de se guridad Secciones FAQ reorganizadas Se comenz a escribir la secci n con respecto al firewalling en Debian GNU Linux po dr a ser ampliado un poco Eliminados errores ortogr ficos detectados por Matt Kraai Cambiada la informaci n de DNS Se agreg informaci n sobre whisker y nbtscan para la secci n de auditor a Se modific alg n URL err neo 1 5 8 Versi n 1 98 Cambios por Javier Fern ndez Sanguino Pe a Se a adi una nueva secci n con respecto a la auditor a usando Debian GNU Linux Se a adi informaci n con respecto al demonio finger tomada de la lista de correo de seguridad Cap tulo 1 Introducci n 9 1 5 9 Version 1 97 Cambios por Javier Fern ndez Sanguino Pefia Se cambi el enlace a Linux Trustees Se corrigieron fallos ortogr ficos parches de Oohara Yuuma y Pedro Zorzenon 1 5 10 Versi n 1 96 Cambios por Javier Fern ndez Sanguino Pefia Se reorganiz el servicio de instalaci n y se a adieron y eliminaron algunas notas Se a adieron algunas notas con respecto al uso de si
174. uridad en una distribuci n el proceso que se usa para incluir paquetes usando firma digital asegura que el problema puede seguirse hasta el desarrollador El proyecto Debian no se ha tomado a la ligera este tema 11 1 9 Por qu algunos archivos de registro configuraci n tienen permiso de lec tura para todos No es eso inseguro Por supuesto que puede cambiar los permisos predeterminados de Debian en sus sistemas La pol tica actual acerca de los archivos de registro y configuraci n es que tienen permisos de lectura para todos salvo que tengan informaci n sensible Sea cuidadoso si hace cambios porque 3Dese cuenta que eso es seguridad por oscuridad y que probablemente no tenga un buen efecto a largo plazo Cap tulo 11 Preguntas Frecuentes 99 Los procesos pueden no ser capaces de escribir en los archivos de registro si restringe los permisos Algunas aplicaciones pueden no funcionar si no pueden leer el archivo de configuraci n Por ejemplo si elimina los permisos de lectura para todos de etc samba smb conf el programa smbclient no funcionar cuando lo ejecute un usuario normal ARREGLAME Comprobar si esto est escrito en la Pol tica Algunos paquetes p e demonios ftp parece que usan permisos diferentes 11 1 10 Por qu root o usuarioX tiene permisos 755 La mismas preguntas de hecho se aplican a cualquier otro usuario Como la instalaci n de Debian no pone ning n archivo en ese dire
175. usuario Esto se usa habitualmente en servidores de correo FTP e IRC tambi n puede usarse para conocer qu usuarios de sus sistema local est n atacando un sistema remoto Han habido discusiones extensas acerca de la seguridad de identd mire los archivos de las listas de correo http lists debian org debian security 2001 debian security 200108 msg00297 htm1l Por lo general identd es m s til en un sistema multi usuario que en una estaci n de trabajo de un s lo usuario Si no tiene por qu usarlo deshabil telo de tal forma que no deje un servicio abierto para el resto del mundo Si decide cerrar con el cortafuegos el puerto identd por favor h galo usando una pol tica de rechazo reject en vez de ignorar drop los paquetes de otra forma la conexi n al servidor que usa identd tendr que expirar y se colgar hasta que lo haga mire rechazar o ignorar http logi cc linux reject or deny php3 Yo he chequeado y tengo el siguiente acceso xyz y puedo cerrarlo Por supuesto que puede usted puede ir dejando los portales abiertos en su sitio de pol tica fortaleciendo los servicios p blicos disponibles para otros sistemas Revise si estos son abier tos por inetd observe Deshabilitar los servicios inetd en la p gina 25 o por otros paquetes Cap tulo 11 Preguntas Frecuentes 105 instalados y t melo en medidas apropiadas configure inetd remueva el paquete anule el fun cionamiento en bootup He removido
176. usuario com n puede no tener permisos para ir por algunos directorios sensibles cut f 1 d etc passwd while read i do find user i grep q amp amp echo i done Estos usuarios son del paquete base passwd Mire en su documentaci n si quiere m s infor maci n acerca de c mo se gestionan estos usuarios en Debian La lista de usuarios predetermi nados con su grupo correspondiente es la siguiente root Root es t picamente el super usuario daemon Algunos demonios sin privilegios que necesitan escribir en archivos del del dis co se ejecutan como daemon daemon p e portmap atd y probablemente otros Los demonios que no necesitan tener ning n archivo corren como nobody nogroup algunos otros demonios m s complejos se ejecutan con usuarios dedicados El usuario del demo nio es tambi n til para demonios instalados localmente bin mantenido por razones hist ricas Sys igual que bin Aun as dev vcs y var spool cups son del usuario y grupo Sys Cap tulo 11 Preguntas Frecuentes 101 sync La shell del usuario sync es bin sync Aun as si su contrase a se pone f cil de adivinar como cualquiera puede sincronizar el sistema en la consola incluso si no tiene cuenta games Muchos juegos tienen SETGID de manera que puedan escribir sus propios archivos de puntuaci n m s alta Se explica en la pol tica man El programa man a veces se ejecuta con el usuario man
Download Pdf Manuals
Related Search