Manual de Seguridad de Debian
Javier Fernández-Sanguino Peña <
[email protected]>
2.4 (revisión de traducción 3) 28 diciembre 2003 Tue, 30 Apr 2002 15:41:13 +0200
Resumen
Este documento describe el proceso de asegurar y fortalecer la instalación original de Debian.
Cubre algunas de las tareas más comunes al configurar un ambiente de red seguro usando De-
bian GNU/Linux y también da información adicional acerca de las herramientas de seguridad
disponibles, así como el trabajo desarrollado por el equipo de seguridad de Debian.
Nota de Copyright
Copyright © 2002 Javier Fernández-Sanguino Peña
Copyright © 2001 Alexander Reelsen, Javier Fernández-Sanguino Peña
Copyright © 2000 Alexander Reelsen
Traducción inicial al español realizada bajo la coordinación de Igor Tamara, actualmente en
estado de revisión por Jaime Robles y Javier Fernández-Sanguino. NOTA: esta traducción aún
no ha sido revisada por completo y puede tener aún muchos fallos ortográficos y de traducción.
Si encuentra alguno, no dude en enviarlo al autor del documento.
Este documento se distribuye bajo los términos de la Licencia de Documentación libre GNU.
Se distribuye con el deseo de que sea útil, pero sin NINGUNA GARANTÍA.
I
1
2
2
2
3
5
5
5
6
6
6
7
8
8
9
9
9
9
9
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Índice general
1. Introducción
1.1. Obtención del manual
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. Notas/Retroalimentación/Organización . . . . . . . . . . . . . . . . . . . . . . . .
1.3. Conocimiento Previo .
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .
1.4. Lo que falta escribir (ARREGLAME/PORHACER) . . . . . . . . . . . . . . . . . .
1.5. Listado de cambios/Historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.1. Versión 2.4 .
1.5.2. Versión 2.3 .
1.5.3. Version 2.3 .
1.5.4. Versión 2.2 .
1.5.5. Versión 2.1 .
1.5.6. Versión 2.0 .
.
.
.
.
.
.
1.5.7. Versión 1.99 .
1.5.8. Versión 1.98 .
1.5.9. Versión 1.97 .
1.5.10. Versión 1.96 .
1.5.11. Versión 1.95 .
1.5.12. Versión 1.94 .
1.5.13. Versión 1.93 .
1.5.14. Versión 1.92 .
1.5.15. Versión 1.91 .
1.5.16. Versión 1.9 .
1.5.17. Versión 1.8 .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
ÍNDICE GENERAL
II
1.5.18. Versión 1.7 .
1.5.19. Versión 1.6 .
1.5.20. Versión 1.5 .
1.5.21. Versión 1.4 .
1.5.22. Versión 1.3 .
1.5.23. Versión 1.2 .
1.5.24. Versión 1.1 .
1.5.25. Versión 1.0 .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.6. Créditos y Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2. Antes de empezar
15
2.1. ¿Para qué quiere usted este sistema? . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.2. Estar enterado de los problemas de seguridad generales.
. . . . . . . . . . . . . . 15
2.3. ¿Cómo maneja debian la seguridad? . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3. Antes y durante la instalación
21
3.1. Escoger una contraseña BIOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.2. Escoger inteligentemente un esquema de partición . . . . . . . . . . . . . . . . . . 21
3.3. No se conecte a internet hasta que este listo . . . . . . . . . . . . . . . . . . . . . . 22
3.4. Colocar una contraseña a root (Administrador de Linux)
. . . . . . . . . . . . . . 22
3.5. Activar contraseñas shadow y md5.
. . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.6. Corra el mínimo número de servicios requeridos . . . . . . . . . . . . . . . . . . . 23
3.6.1. Deshabilitar los demonios . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.6.2. Deshabilitar los servicios inetd . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.7. Lea las listas del correo de la seguridad de Debian . . . . . . . . . . . . . . . . . . 25
4. Después de la instalación
27
4.1. Colocar una contraseña a lilo o grub . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2. Eliminar el prompt de root del núcleo . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.3. Deshabilitar arranque desde el diskette . . . . . . . . . . . . . . . . . . . . . . . . 29
4.4. Restricción del acceso a la consola . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.5. Montando particiones en la manera correcta . . . . . . . . . . . . . . . . . . . . . 30
ÍNDICE GENERAL
III
.
.
.
.
4.5.1. Serie /tmp noexec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.5.2. Serie /usr leer-únicamente . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.6. Ejecute una actualización de seguridad . . . . . . . . . . . . . . . . . . . . . . . . 32
4.7. Acceso de acuerdo a las necesidades del usuario . . . . . . . . . . . . . . . . . . . 32
4.7.1. Uso de la autenticacion: PAM . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.7.2. Los límites de el archivo.conf . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.7.3. Editar /etc/login.defs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.7.4. Usar su .
.
4.7.5. Usar sudo .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.7.6. Restringiendo usuarios
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.7.7. Manual de auditoría del usuario . . . . . . . . . . . . . . . . . . . . . . . . 39
4.7.8. Completa auditoría del usuario . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.7.9. Repasando los perfiles del usuario . . . . . . . . . . . . . . . . . . . . . . . 40
4.8. Proporcionando acceso seguro a los usuarios . . . . . . . . . . . . . . . . . . . . . 40
4.8.1. Limitando lo que los usuarios pueden ver/hacer . . . . . . . . . . . . . . . 40
4.9. Usando tcpwrappers .
. . 40
4.10. La importancia de logs y alarmas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.10.1. Configurando el sitio donde las alertas son enviadas
. . . . . . . . . . . . 41
4.10.2. Usar un servidor de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.10.3. Permisos para el archivo de registro . . . . . . . . . . . . . . . . . . . . . . 43
4.11. Uso del cambio de directorio raíz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.11.1. Configuarción Kernel
4.11.2. Características de la red configurando kernel . . . . . . . . . . . . . . . . . 44
4.11.3. Configuarción de las características de los cortafuegos
. . . . . . . . . . . 46
4.12. Adicionando parches al kernel ARREGLAME: More content . . . . . . . . . . . . 46
4.13. Transferancia segura de archivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.14. Límites y control de los sistemas de archivos . . . . . . . . . . . . . . . . . . . . . 47
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.14.1. Uso de Quotas
4.14.2. chattr/lsattr .
.
. 48
4.14.3. Integridad de su sistema de archivos . . . . . . . . . . . . . . . . . . . . . . 49
4.14.4. Configuración de revisión de setuid . . . . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.15.1. No use software que dependa de svgalib . . . . . . . . . . . . . . . . . . . 49
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.15. Otras recomendaciones .
.
.
.
.
.
.
.
. .
.
.
.
.
.
.
ÍNDICE GENERAL
5. Asegurando los servicios que corren en su sistema
IV
51
5.1. Asegurando ssh .
.
.
5.2. Asegurando Squid .
5.3. Asegurando FTP .
.
.
.
.
.
.
.
.
.
.
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .
. . 52
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5.4. Asegurando el acceso al sistema X Window . . . . . . . . . . . . . . . . . . . . . . 54
5.4.1. Revisar su administrador visual
. . . . . . . . . . . . . . . . . . . . . . . . 55
5.5. Seguridad en el acceso de impresión (El asunto de lpd y lprng) . . . . . . . . . . . 55
5.6. Asegurar el Demonio de correo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
5.7.
Comentarios de: Manual de seguridad de Debian (1)