Seguridad

• Lee Notas Generales
• Asegurate de que en primer lugar esté seleccionado el disco duro en la secuencia de arranque del sistema
  1. Para protegerte de los delincuentes que usan un CD de instalación de Linux el cual permite que tengan acceso como root.
  2. Para protegerte de los delincuentes que usan un Linux Live CD (e.g.KNOPPIX) el cual les permite destruir/husmear/compartir el disco duro completo
  3. Para protegerte de los delincuentes que instalen otro Sistema Operativo.
• Asegurate de establecer un password para la BIOS
  1. Para protegerte de los delincuentes que quieran cambiar la secuencia de arranque de la BIOS
• Asegurate de que el equipo esté en un lugar seguro
  1. Para protegerte de los delincuentes que puedan robar el disco duro y destruir/ husmear/ compartir el disco duro entero en otro equipo
  2. Para protegerte de los delincuentes que puedan quitar la batería de la placa y así resetear la password de la BIOS.
• Asegurate de que las password de tu sistema no pueden ser averiguadas facilmente
  1. Para protegerte de las delincuentes que quieran craquear tus password usando fuerza bruta (e.j. John the Ripper)
  2. Crea password como mínimo de 8 caracteres
  3. Crea password combinado caracteres numéricos y alfanuméricos, mayúsculas y minúsculas
• Asegurate de que el control de edición interactivo para el menú de GRUB esta desactivado
  1. Para protegerte de que los delincuentes puedan modificar los argumentos de arranque del kernel y conseguir acceso como root
  2. Lee ¿Cómo desactivar todo el control sobre la edición interactiva del menú de GRUB?
• Asegurate de que el historial de los comandos de la consola esté desactivado
  1. Para protegerte de que los delincuentes puedan ver los comandos introducidos anteriormente
  2. Lee ¿Cómo desactivar el historial de comandos en modo Consola?
• Asegurate de que Ctrl+Alt+Del esta desactivado en el modo consola
  1. Para protegerte de que los delincuentes puedan reiniciar el sistema sin permiso en el modo consola
  2. Lee ¿Cómo desactivar Ctrl+Alt+Del para reiniciar el sistema en modo Consola?
• Asegurate de que el modo interactivo para mover, copiar, eliminar ficheros esta activo en el modo consola
  1. Para prevenir borrados accidentales de ficheros
  2. Lee ¿Cómo activar que confirme antes de eliminar o sobreescribir ficheros en modo consola?
• Para el día a día haz login como usuario normal
  1. Para prevenir borrados o modificaciones accidentales de ficheros del sistema
  2. Lee ¿Cómo añadir/editar/eliminar usuarios del sistema?
• Desactiva la cuenta de root, usa “sudo” en su lugar
  1. Para reducir el tiempo que pasa con privilegios de root , y así reducir el riesgo de ejecutar inadvertidamente comandos como root
  2. “sudo” proporciona mayor rastro para auditar (/var/log/auth.log)
  3. Lee ¿Cómo desactivar la cuenta del usuario root?
• Instalar un Cortafuegos
  1. Un cortafuegos no garantiza la seguridad, pero esta en primera linea frente a ataque provenientes de la red
  2. Lee ¿Cómo instalar el Firewall (Firestarter)?

• Lee Notas Generales

$ grub
 
grub> md5crypt
Password: ****** (ubuntu)
Encrypted: $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (encrypted password)
 
grub> quit
 
$ sudo gedit /boot/grub/menu.lst

• Busca esta sección

...
## password ['--md5'] passwd
# If used in the first section of a menu file, disable all interactive editing
# control (menu entry editor and command-line)  and entries protected by the
# command 'lock'
# e.g. password topsecret
#      password --md5 $1$gLhU0/$aW78kHK1QfV3P2b2znUoe/
# password topsecret
...

• Añade la siguiente linea debajo

password --md5 $1$ZWnke0$1fzDBVjUcT1Mpdd4u/T961 (encrypted password above)

• Guarda el fichero editado (Ejemplo)

• Edita el fichero /etc/lilo.conf:

$sudo gedit /etc/lilo.conf

• Añade la línea:

password=la-que-quieras

• Además añade la palabra “restricted” en cada bloque de los sistemas operativos que queramos proteger. Ejemplo:

password=la-que-quieras
[..]
image=/boot/bzImage-2.4.20
label="Debian"
read-only
restricted

• Y ahora actualizamos nuestro LILO escribiendo:

$ sudo lilo

• Por último asegurarse que ningún usuario, excepto el administrador, tenga permisos de lectura sobre el archivo /etc/lilo.conf. Los permisos deberían quedar de esta manera:

$ ls -l /etc/lilo.conf
-rw-r----- 1 root root 4119 dic 18 23:13 /etc/lilo.conf

• Si no están así, establecemos los permisos como:

$ sudo chmod 600 /etc/lilo.conf

• De lo contrario cualquier usuario puede ver la contraseña del arranque mirando el archivo de configuración de LILO.

• Fuente: http://www.linuca.org/body.phtml?nIdNoticia=96.

— Ricardo lópez 2005/11/21 19:57

• Lee Notas Generales

$ rm $HOME/.bash_history
$ touch $HOME/.bash_history
$ chmod 000 $HOME/.bash_history

• Lee Notas Generales

$ sudo gedit /etc/inittab

• Busca esta linea

...
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
...

• Sustituyela con la siguiente linea

#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now

• Guarda el fichero editado (Ejemplo)

$ sudo telinit q

• Lee Notas Generales

sudo cp /etc/X11/xorg.conf /etc/X11/xorg.conf_backup
sudo gedit /etc/X11/xorg.conf

• Añade las siguientes líneas al final del fichero.

Section "ServerFlags"
	Option		"DontZap"		"yes"
EndSection

• Guarda el fichero editado.
• Lee ¿Cómo reiniciar GNOME sin reiniciar el ordenador?

—- — Gabriel Molina 2005/06/15 00:33

• Lee Notas Generales

$ sudo gedit /etc/bash.bashrc

• Añade las siguientes líneas al final del fichero

alias rm='rm -i'
alias cp='cp -i'
alias mv='mv -i'

• Guarda el fichero editado (Ejemplo)

• Lee Notas Generales
• El método más simple es usar rsync:

$ rsync -a <dir_original> <dir_destino>

• Los ficheros que se añadan a dir_original se añadiran a dir_destino.
• Los ficheros que se borren de dir_original permaneceran en dir_destino.
• Los ficheros que se modifiquen en dir_original se modificaran en dir_destino.
• Ver también Servidor SSH.

• Lee Notas Generales

sudo cp /etc/init.d/sysklogd /etc/init.d/sysklogd_backup
sudo gedit /etc/init.d/sysklogd

• Busca esta sección

...
  stop)
    log_begin_msg "Stopping system log daemon..."
    start-stop-daemon --stop --quiet --oknodo --exec $binpath --pidfile $pidfile
    log_end_msg $?
...

• Añade esta línea

    rm -fr /tmp/* /tmp/.??*

• Guarda el fichero editado.

• Lee Notas Generales
• Si en ocasiones sudo no te pide la contraseña lanza una terminal y haz lo siguiente:

$ sudo gedit /etc/sudoers

• Busca el suiguiente texto:

Defaults        !lecture,tty_tickets,!fqdn

• Y cambialo por este:

Defaults        !lecture,tty_tickets,!fqdn,timestamp_timeout=0

De esta manera sudo nos pedirá siempre la contraseña, con lo que ganamos en seguridad.

— manolo 2005/06/06 12:51

• Lee Notas Generales
• Una práctica recomendable como buen administrador es revisar los logs del sistema para comprobar el fuen funcionamiento del mismo. Esta tarea es bastante pesada porque en un sistema servidor habrá mucha actividad y estos ficheros pueden llegar a crecer bastante día a día.
• Como no podía ser menos alguien creó una herramienta que nos facilitara enórmemente esa tediosa labor. LogWatch es una analizador de logs que se ejecuta cada noche y te envía un correo con los resultados.

$ sudo aptitude install logwatch

• Nota: La para un sistema de uso personal su utilidad es bastante relativa, siendo mucho más útil en un servidor que es más susceptible de ser monitorizado.

• Lee Notas Generales
• Lee ¿Cómo añadir repositorios extra?

sudo apt-get install nessus
sudo apt-get install nessusd
sudo nessus-adduser
sudo ln -fs /etc/init.d/nessusd /etc/rc2.d/S20nessusd
sudo /etc/init.d/nessusd start
sudo gedit /usr/share/applications/Nessus.desktop

• Inserta estas líneas en el fichero creado.

[Desktop Entry]
Name=Nessus
Comment=Nessus
Exec=nessus
Icon=/usr/share/pixmaps/nessus.xpm
Terminal=false
Type=Application
Categories=Application;System;

• Guarda el fichero.
• Lee ¿Cómo reiniciar GNOME sin reiniciar el ordenador?
• Aplicaciones → Herramientas del Sistema → Nessus

• Ver ¿Cómo instalar la aplicación de copias de seguridad SBackup?.